Wymuszanie ochrony dostępu do wirtualnej sieci prywatnej (VPN) jest wdrażane przy użyciu składnika serwera wymuszania sieci VPN i składnika klienta wymuszania sieci VPN. Za pomocą tej metody wymuszania serwery sieci VPN mogą wymusić zasady dotyczące kondycji, gdy komputery klienckie będą próbować połączyć się z siecią za pośrednictwem połączenia VPN. Wymuszanie stosowania sieci VPN umożliwia ściśle ograniczony dostęp do sieci wszystkim komputerom, które uzyskują dostęp do sieci przy użyciu połączenia VPN.

Uwaga

Wymuszanie sieci VPN różni się od kwarantannowej kontroli dostępu do sieci, która jest funkcją systemu Windows Server® 2003 i programu Internet Security and Acceleration (ISA) Server 2004.

Wymagania

Aby wdrożyć funkcje ochrony dostępu do sieci z siecią VPN, należy wykonać następujące czynności konfiguracyjne:

  • Zainstaluj i skonfiguruj usługę Routing i dostęp zdalny jako serwer sieci VPN. Skonfiguruj serwer zasad sieciowych (NPS) jako podstawowy serwer usługi RADIUS (Remote Authentication Dial-In User Service) w usłudze Routing i dostęp zdalny.

  • Na serwerze NPS skonfiguruj serwery sieci VPN jako klientów usługi RADIUS. Skonfiguruj także zasady żądań połączeń, zasady sieciowe i zasady dotyczące kondycji funkcji ochrony dostępu do sieci. Te zasady można skonfigurować osobno, używając konsoli serwera NPS lub kreatora Nowe zasady ochrony dostępu do sieci.

  • Włącz klientów wymuszania ochrony dostępu zdalnego do sieci oraz protokołu EAP na komputerach klienckich z obsługą ochrony dostępu do sieci.

  • Włącz usługę ochrony dostępu do sieci na komputerach klienckich z obsługą ochrony dostępu do sieci.

  • Skonfiguruj moduł sprawdzania kondycji zabezpieczeń systemu Windows (WSHV) lub zainstaluj i skonfiguruj innych agentów kondycji systemu (SHA) oraz moduły sprawdzania kondycji systemu (SHV), zależnie od używanego wdrożenia ochrony dostępu do sieci.

  • Jeśli jest używany protokół PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) lub EAP-TLS z kartami inteligentnymi lub certyfikatami, wykonaj wdrożenie infrastruktury kluczy publicznych (PKI) za pomocą usług certyfikatów w usłudze Active Directory (AD CS, Active Directory® Certificate Services).

  • Jeśli jest używany protokół PEAP-MS-CHAP (Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol) w wersji 2, wystaw certyfikaty serwera za pomocą usług AD CS lub zakup certyfikaty serwera od zaufanego głównego urzędu certyfikacji (CA).

Uwagi dodatkowe

W przypadku wdrożenia metody wymuszania ochrony dostępu do sieci w sieci VPN oraz skonfigurowania wymuszania ochrony dostępu do sieci za pomocą opcji Zezwalaj na pełny dostęp sieciowy przez ograniczony czas komputery klienckie połączone z siecią VPN po upływie czasu wygaśnięcia są automatycznie rozłączane bez względu na ich zgodność z zasadami dotyczącymi kondycji.

Po upływie daty i godziny wygaśnięcia klienci VPN próbujący połączyć się z siecią są umieszczani w sieci z ograniczeniami w przypadku braku zgodności z zasadami kondycji lub jest im przyznawany pełny dostęp do sieci w przypadku zgodności z tymi zasadami.

Spis treści