Работа с предпочтениями групповой политики: настраиваем сетевые параметры

В наше время пользователи уже давно перестали получать доступ к корпоративным данным исключительно из своих офисов. Мир меняется, мир становится мобильнее. Многие во время больничных, вместо того, чтобы не заражать своих сотрудников, предпочитают работать с корпоративными данными прямо из дома. Во время командировок также у людей все чаще и чаще бывают ситуации, когда крайне важно подключиться к внутренней сети. И, естественно, бывают такие ситуации, когда обычного подключения к сети Интернет, будь то проводное подключение или wi-fi, попросту недостаточно. Конечно, уже давно появились различные сервисы, к которым можно отнести тот же OWA, существенно облегчающие жизнь, но, тем не менее, дабы пользователи могли подключаться к внутренним серверам, обмениваться документами, синхронизировать файлы, а также выполнять множество других задач, часто приходится настраивать удаленный доступ.

Зачастую принято использовать такие типы подключения, как коммутируемые подключения, VPN и DirectAccess, который появился не так давно, но в крупных компаниях становится все более и более популярным. Но поскольку вам как администратору необходимо не только настроить сам сервер удаленного подключения (то есть поднять роль Remote Access), а еще и централизованно настроить подключение для пользователей, у которых могут возникнуть с этой процедурой сложности, здесь не обойтись без функциональных возможностей групповой политики.

Следовательно, данная статья будет разбита на две части: описание настройки VPN-сервера, а также использования функциональных возможностей элемента предпочтения групповой политики «Сетевые параметры». Начинать мы будет по порядку, то есть с

Настройки VPN-сервера

Прежде чем настраивать свой VPN-сервер, не говоря уже о распространении настроек подключения средствами GPO, следует вспомнить о том, что же вообще представляют собой виртуальные частные сети. Согласно одному из самых простых определений, виртуальная частная сеть, она же Virtual Private Network, проще говоря – VPN, представляет собой подключение типа «точка-точка» в частной или общедоступной сети, скажем, в Интернете. Для реализации защищенного канала обмена данными между двумя компьютерами в процессе самой передачи VPN-клиенты используют специальные TCP/IP-протоколы, которые также принято называть туннельными протоколами. Если говорить кратко, то при базовой реализации этой технологии VPN-клиент инициирует виртуальное подключение типа «точка-точка» к установленному внутри самой компании серверу удаленного доступа через Интернет. Сервер удаленного доступа, в свою очередь, отвечает на такой вызов, выполняет проверку подлинности вызывающей стороны и потом уже передает данные между VPN-клиентом и компьютерами корпоративной сети. Между прочим, можно выделить три различных формы проверки подлинности, а именно: проверка подлинности на уровне пользователя по протоколу PPP, проверка подлинности на уровне компьютера по протоколу IKE, а также проверка подлинности источника данных и обеспечение целостности данных (работает с протоколами L2TP/IPSec и IKE версии 2). Еще во время проектирования своих виртуальных частных сетей обязательно убедитесь в том, что учетные записи всех пользователей настроены на удаленный доступ. Для последующего подключения к сети пользователи должны обладать учетными записями на сервере удаленного доступа к VPN или, что приоритетнее, в доменных службах Active Directory.

Не буду слишком углубляться в теорию, так как на некоторых моментах мы еще остановимся, а на остальные нюансы одной статьи будет мало, но на данном этапе только отмечу еще такой момент: для работы настраиваемого сервера удаленного доступа отконфигурируйте VPN-сервер хотя бы с двумя сетевыми адаптерами. Подключите один сетевой адаптер к общественному Интернету, так как этот интерфейс будет принимать входящие VPN-подключения и ему следует назначить статический IP-адрес. А второй сетевой адаптер вам нужно подключить к интрасети, так как такой интерфейс будет пересылать трафик между VPN и сетевыми ресурсами.

Будем переходить к практике. Для того чтобы настроить VPN-сервер на компьютере с установленной операционной системой Windows Server 2012 R2, вам нужно будет выполнить следующие действия:

  1. В диспетчере серверов перейдите по ссылке «Управление» (Manage), а затем выберите команду «Добавить роли и компоненты» (Add roles and features), позволяющую открыть известный многим мастер добавления ролей и компонентов. На первой странице мастера, как правило, следует прочитать о назначении сего мастера, а затем нажать на кнопку «Далее» (Next). После этого на страницах «Выбор типа установки» и «Выбор целевого сервера» (Installation Type и Server Selection) выберите опцию «Установка ролей и компонентов» (Role-based or feature-based installation) и, соответственно, сервер, на котором будет устанавливаться требуемая серверная роль. После этого на странице «Выбор ролей сервера» (Server Roles) следует установить флажок на серверной роли «Удаленный доступ» (Remote Access), а затем нажать на кнопку «Далее» (Next);
  2. На этом этапе в диалоговом окне того же мастера на странице «Выбор компонентов» (Add Features) можно оставить флажки, установленные мастером, в зависимости от выбранной вами серверной роли по умолчанию и перемещаться к следующей странице мастера. На странице «Удаленный доступ» (Remote Access) вам будет предоставлена ознакомительная информация об устанавливаемой роли. Сразу же можно смело нажимать на кнопку «Далее» (Next). На странице «Выбор служб ролей» (Role Services) вы можете выбрать требуемую серверную роль. Мастер позволяет выбрать следующие роли:
    • DirectAccess и VPN (RAS) (DirectAccess & VPN (RAS)). Эта служба роли позволяет развертывать службы удаленного доступа, а также DirectAccess. По умолчанию выбирается именно эта служба, да и она в этом случае нам и нужна;
    • Маршрутизация (Routing). Как понятно из названия, текущая служба позволяет управлять возможностями маршрутизации, то есть NAT, работой с протоколами BGP, RIP и т.д.;
    • Прокси-сервер веб-приложений (Web Application Proxy). Служба, позволяющая публиковать веб-приложения из вашей корпоративной сети для клиентских устройств, размещенных за вашей демилитаризованной зоной.

    Рис. 1. Страница выбора служб ролей мастера установки ролей и компонентов

    Здесь, как я уже указал, нужно выбрать именно DirectAccess & VPN (RAS) и в отобразившемся диалоговом окне согласиться со всеми устанавливаемыми параллельно компонентами. Для полноценной работы этой службы роли вам понадобится еще установить веб-сервер, компоненты внутренней базы данных Windows, консоль управления групповой политикой, а также такое средство, как CMAK, о котором более подробно вы прочтете в одной из следующих статей. На всех остальных страницах мастера вам нужно будет согласиться с параметрами, выбранными по умолчанию, а уже будучи на странице «Подтверждение» (Confirmation), нажать на кнопку «Установить» (Install). После того как завершится процесс инсталляции, можно смело закрывать диалоговое окно и переходить к процессу настройки VPN-сервера;

  3. Самый простой метод открытия требуемой оснастки – поиск оной в диспетчере серверов. Для этого следует нажать на «Средства» (Tools), а затем из предложенного списка выбрать опцию «Маршрутизация и удаленный доступ» (Routing and Remote Access). После этого, в левой части отобразившейся консоли щелкните правой кнопкой мыши на наименовании вашего сервера, а затем из контекстного меню выберите команду «Настроить и включить маршрутизацию и удаленный доступ» (Configure and Enable Routing and Remote Access), как показано на следующей иллюстрации:

    Рис. 2. Начало настройки сервера удаленного доступа

  4. На странице приветствия мастера установки сервера маршрутизации и удаленного доступа, то есть мастера «Мастер настройки сервера маршрутизации и удаленного доступа» (Routing And Remote Access Server Setup Wizard) щелкните на кнопку «Далее» (Next);
  5. После выполнения предыдущего шага, находясь на странице «Конфигурация» (Configuration) настоящего мастера, выберите опцию «Удаленный доступ (VPN или модем)» (Remote access (dial-up or VPN)) и щелкните кнопку «Далее» (Next), как показано ниже:

    Рис. 3. Настройка требуемой конфигурации сервера удаленного доступа

  6. На странице «Удаленный доступ» (Remote Access) установите флажок на опции «Доступ к виртуальной частной сети (VPN)» (VPN), а затем нажмите на кнопку «Далее» (Next);
  7. В качестве следующего действия на странице «Соединение по VPN» (VPN Connection) выберите сетевой адаптер, который подключает сервер к сети Интернет, а затем снова нажмите на кнопку Next;

    Рис. 4. Выбор сетевого адаптера для подключения к Интернету

  8. На странице «Назначение IP-адресов» (IP Address Assignment) выберите опцию «Автоматически» (Automatically), если в сети уже есть DHCP-сервер. Если же вы хотите, чтобы сервер удаленного доступа распределял IP-адреса из диапазона, еще не назначенного DHCP-серверу, выберите опцию «Из заданного диапазона адресов» (From A Specified Range Of Addresses). После указания текущих настроек, нажмите на кнопку «Далее» (Next):

    Рис. 5. Настройка назначения IP-адресов

  9. Если вы выбрали вторую опцию, откроется страница «Назначение диапазонов IP-адресов» (Address Range Assignment). Здесь нажмите на кнопку «Создать» (New), введите диапазон IP-адресов и щелкните «ОК». Добавьте необходимые диапазоны адресов;
  10. На странице «Управление несколькими серверами удаленного доступа» (Managing Multiple Remote Access Servers) следует выбрать метод проверки подлинности пользователей удаленного доступа. Если вы используете отдельный RADIUS-сервер, выберите опцию «Да, настроить данный сервер для работы с RADIUS-сервером» (Yes, Set Up This Server To Work With A RADIUS Server). Если же для проверки подлинности вы планируете использовать службу маршрутизации и удаленного доступа, в частности для проверки подлинности в домене Active Directory, выберите опцию «Нет, использовать службу маршрутизации и удаленного доступа для проверки подлинности запросов на подключение» (No, Use Routing And Remote Access To Authenticate Connection Requests). После этого, опять же, нажмите на кнопку «Далее» (Next);

    Рис. 6. Настройка метода проверки подлинности

  11. Теперь уже можно смело нажимать на кнопку «Готово» (Finish), а после открытия окна подтверждения щелкать «ОК».

Установка и первоначальная настройка сервера удаленного доступа завершена. Теперь осталось предоставить пользователям требуемые разрешения, а также создать само VPN-подключение. Было бы разумно реализовать VPN-подключения при помощи сервера сетевых политик, но так как это достаточно трудоемкий процесс, в данной статье будет рассмотрен более простой способ (использование NPS и NAP будут рассматриваться в других статьях). Для того чтобы воспользоваться обходным путем, вам нужно будет сделать следующее:

  1. В оснастке «Пользователи и компьютеры Active Directory» (Active Directory Users and Computers) перейти к диалоговому окну свойств пользователей, которые будут подключаться к VPN, и на вкладке «Входящие звонки» (Dial-In) в самой верхней группе установить переключатель на опцию «Разрешить доступ» (Allow Access), как показано на следующем изображении:

    Рис. 7. Вкладка «Входящие звонки»

  2. Создайте VPN-подключение. Для этого перейдите в центр управления сетями и общим доступом, а затем создайте подключение к рабочему месту при помощи соответствующего мастера.

Проверим, получится ли создать подключение и выполнить само подключение.

Рис. 8. Проверка VPN-подключения

Узел предпочтений групповой политики «Сетевые параметры»

С установкой, настройкой серверной роли, с созданием подключения и подключением к внутренней сети компании мы с вами уже успели разобраться. Сейчас же мы попробуем автоматизировать процесс подключения пользователей к рабочему месту средствами функциональных возможностей групповой политики, а если говорить немного точнее, то средствами определенного элемента предпочтений – элемента «Сетевые параметры». Этот элемент предпочтений, по большому счету, предназначен для того, чтобы можно было упростить пользователям жизнь при настройке подключения виртуальной частной сети или подключения удаленного доступа. Как и в случае практически с каждым из элементов предпочтений, за данный элемент несет ответственность динамическая библиотека gpprefcl.dll и идентификатор GUID {3A0DBA37-F8B2-4356-83DE-3E90BD5C261F}.

Далее, ввиду того, что в предыдущем разделе данной статьи рассматривалась настройка VPN-подключения, в этом разделе я покажу, как можно настроить это же подключение, но при использовании данного элемента предпочтения. Итак, для выполнения поставленной задачи попробуем выполнить следующие действия:

  1. Из оснастки «Управление групповой политикой» (Group Policy Management) создайте объект групповой политики, например, «Group Policy Preferences — 19», свяжите его с подразделением и откройте редактор GPME;
  2. В отобразившей оснастке перейдите к узлу Конфигурация компьютераНастройкаПараметры панели управленияСетевые параметры (Computer ConfigurationPreferencesControl Panel SettingsNetwork Options), где при создании нового элемента предпочтений выберите команду «VPN-подключение» (VPN Connection), как показано на следующем изображении:

    Рис. 9. Создание нового элемента предпочтений

  3. В отобразившемся диалоговом окне новых свойств VPN сразу же можно обнаружить несколько, а точнее, целых 5 вкладок, из которых ранее в моих статьях рассматривалась лишь последняя. Разберемся по очереди с каждой вкладкой. На самой первой вкладке — «Подключение виртуальной частной сети (VPN)» (VPN Connection) – вам предоставляется возможность определения основных параметров, предназначенных для настройки подключения. Из раскрывающегося списка «Действие» (Action) вы можете, как и в случае с большинством элементов предпочтений, выбрать требуемое действие. В данном случае, так как создается такое подключение, следует выбрать действие «Создать» (Create). Опции около переключателя «Подключение пользователя» и «Подключение всех пользователей» (User connection и All users connection) позволяют создавать такое подключение либо для конкретного пользователя, либо для всех пользователей, которые выполняют вход на целевом компьютере. Так как этот элемент предпочтений создается в узле конфигурации компьютера, переключатель по умолчанию устанавливается на второй опции. В текстовом поле «Имя подключения» (Connection Name) должно быть определено будущее наименование создаваемых подключений. Если вы хотите, чтобы подключение создавалось с тем же наименованием, что и присутствующие подключения на компьютере, на котором создается текущий элемент предпочтения, вы можете воспользоваться кнопкой обзора. Например, как можно заметить на следующей иллюстрации, в данном примере подключения будут называться «Biopharmaceutic VPN». Следующее текстовое поле может называться по-разному. Изначально это поле «IP-адрес» (IP Address), в которое требуется ввести IP-адрес удаленной машины. Если установить флажок «Использовать DNS-имя» (Use DNS name), текстовое поле переименуется в «DNS-имя» (DNS name), и вам нужно будет в этом текстовом поле ввести полное доменное имя для того же компьютера. Также следует обратить внимание на то, что если вы уже полноценно успели мигрировать на IPv6, то теперь, начиная с серверной операционной системы Windows Server 2012 R2, вы можете использовать IPv6-адреса, установив для этого текстового поля соответствующий флажок. Текстовое поле «Сначала набрать номер для этого подключения» (Dial another connection first) позволяет вам определить более приоритетное подключение при попытке подключения к VPN. Наконец, если вы хотите, чтобы у вас в области уведомления отображался анимированный значок подключения к VPN-сети, установите флажок на опции «При подключении вывести значок в области уведомлений» (Show icon in notification area when connected). Данная вкладка отображена на следующей иллюстрации:

    Рис. 10. Вкладка подключения виртуальной частной сети создаваемого элемента предпочтений

  4. Вкладка «Параметры» (Options) позволяет вам указать параметры для набора номера и для повторного звонка при подключении к виртуальной частной сети. В принципе, такие параметры идентичны с теми же параметрами, которые вы можете определить в диалоговом окне свойств существующего подключения к VPN, что может быть крайне полезно, в первую очередь, при изменении параметров существующего подключения. В группе «Параметры набора номера» (Dialing options) вы можете обнаружить флажки, отвечающие за отображение процесса подключения, требование ввода имени, пароля, за указание сертификатов, а также за добавление домена входа пользователя в систему в соответствующее поле подключения к виртуальной частной сети. В принципе, эти опции практически так же и называются, так что их названия вы увидите на соответствующей иллюстрации. Ниже, в группе «Параметры повторного звонка» (Redialing options), вы можете определить число повторов набора номера после разрыва подключения (например, как в этом примере, 35), указать интервал между попытками переподключения (1 секунда, например), время простоя операционной системы до разъединения подключения VPN, а также можете установить флажок, отвечающий за автоматическую попытку переподключения при разрыве соединения. Данная вкладка изображена на следующей иллюстрации:

    Рис. 11. Параметры вкладки «Параметры» диалогового окна свойств элемента предпочтения

  5. Вкладка «Безопасность» (Security) предназначена для выбора используемых при подключении к VPN-серверу параметров безопасности, отвечающих за шифрование данных, протоколы проверки подлинности, безопасные пароли, а также за использование при VPN-подключении имени пользователя и пароля, которые вводит пользователь при выполнении входа в систему. Так как в данном примере не используется ни шифрование, ни особые протоколы проверки подлинности, применяемые для реализации безопасного входа, будет установлен переключатель из группы «Дополнительные (выборочные параметры)» (Advanced (custom settings)) на опцию «Протокол расширенной проверки подлинности (EAP)» (Extensible Authentication Protocol (EAP)), а из раскрывающегося списка «Шифрование данных» (Data encryption) будет выбрана опция «По выбору», как показано ниже. Так как прочие протоколы проверки подлинности будут рассматриваться в других статьях, связанных непосредственно с VPN и NAP, данная вкладка диалогового окна свойств элемента предпочтения свойств VPN будет более подробно рассмотрена именно в соответствующих статьях.

    Рис. 12. Параметры вкладки «Безопасность» диалогового окна свойств элемента предпочтения

  6. Вкладка «Сеть» (Network), в свою очередь, позволяет вам выбрать тип VPN-подключения, которое используется в вашем случае. Как я успел мельком упомянуть в предыдущем разделе данной статьи, Майкрософт работает с несколькими типами подключения защищенных VPN, а если посмотреть на возможности элемента предпочтений, то здесь вы можете выбрать туннельный протокол по типу «точка-точка» PPTP, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети, а также протокол туннелирования второго уровня, применяемый для поддержки виртуальных частных сетей, который используется совместно с IPSec. Разумеется, это L2TP. Так, на этой вкладке вы и можете выбрать либо один из этих двух типов VPN, либо автоматический выбор соответствующего типа. Например, в данном случае будет выбран тип «Автоматически» (Automatically):

    Рис. 13. Параметры вкладки «Сеть» диалогового окна свойств элемента предпочтения

  7. После того как все требуемые параметры будут определены, следует сохранить изменения в создаваемом элементе предпочтения, при необходимости добавить нацеливание на уровень элемента, а затем закрыть редактор управления групповыми политиками.

Следует проверить, получилось ли определить все требуемые параметры средствами сгенерированного только что элемента предпочтения. Следовательно, нужно на целевом компьютере обновить параметры групповой политики и перейти к окну сетевых подключений. Как видно на следующей иллюстрации, подключение было успешно создано, и при попытке подключения от конечного пользователя не требуется выполнения каких-либо действий. Иначе говоря, все работает прозрачно и так, как нужно.

Рис. 14. Результаты обновления параметров групповой политики

Заключение

<

p align=»justify»>В этой статье был рассмотрен очередной элемент предпочтения групповой политики, отвечающий за создание подключений к серверам удаленного доступа. Более того, здесь я рассказал о том, каким образом устанавливается серверная роль удаленного доступа и настраивается само VPN-подключение. По сути, данную статью нельзя считать исчерпывающим материалом, где описан каждый возможный параметр и сценарий использования VPN-подключений, но, благодаря ей, вы узнали о базовых методах настройки подключения, а иные сценарии, связанные с NPS и NAP, обязательно будут рассмотрены в прочих статьях, связанных с удаленными подключениями.

Pin It

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.