Настройка основного IAS-сервера на контроллере домена

Для настройки основного IAS-сервера на контроллере домена сделайте следующее:

• 1. Установите службу проверки подлинности в Интернете (IAS) на контроллере домена в качестве дополнительного сетевого компонента ОС. Для получения дополнительной информации обратитесь к разделу Установка IAS (Install IAS) справки Windows Server Server.
• 2. Настройте компьютер IAS-сервера (контроллер домена) для просмотра свойств учетных записей пользователей домена. Для получения дополнительной информации обратитесь к разделу Разрешение просмотра объектов пользователей в Active Directory для сервера IAS (Enable the IAS server to read user objects in Active Directory) справки Windows Server Server.
• 3. Если IAS-сервер осуществляет проверку подлинности попыток подключений для учетных записей пользователей в других доменах, убедитесь, что между этими доменами и доменом IAS-сервера установлены двусторонние отношения доверия. Затем настройте компьютер IAS-сервера для просмотра свойств учетных записей в других доменах. Для получения дополнительной информации обратитесь к разделу Разрешение просмотра объектов пользователей в Active Directory для сервера IAS (Enable the IAS server to read user objects in Active Directory) справки Windows Server Server. Для получения дополнительной информации о доверительных отношениях обратитесь к разделу Доверительные отношения доменов (Understanding domain trusts) справки Windows Server Server. В том случае, если IAS-сервер осуществляет проверку подлинности попыток подключений для учетных записей пользователей в доменах, не имеющих двусторонних отношений доверия с доменом, в который входит компьютер IAS-сервера, Вы должны настроить RADIUS-прокси между доменами, не имеющими доверительных отношений.
• 4. Включите ведение журнала событий учета и проверки подлинности. Для получения дополнительной информации обратитесь к разделу Настройка свойств ведения журнала (Configure log file properties) справки Windows Server Server.
• 5. Добавьте VPN-серверы в качестве клиентов RADIUS IAS-сервера. Для получения дополнительной информации обратитесь к разделу Регистрация клиентов RADIUS (Add RADIUS clients) справки Windows Server Server. Для IP-адреса каждого VPN-сервера используйте внутренний IP-адрес, назначенный VPN-серверу. Если Вы используете имена, укажите внутреннее имя VPN-сервера (это не является обязательным, если такое же DNS-имя используется клиентами сети Интернет). Используйте стойкие общие секреты (пароли).
• 6. Создайте политики удаленного доступа, отображающие Ваши сценарии использования удаленного доступа. Например, чтобы настроить политику удаленного доступа, требующую VPN-подключений на основе протокола L2TP для членов группы Employees с использованием протокола EAP-TLS и 128-битное шифрование для проверки подлинности, создайте политику удаленного доступа со следующими параметрами:

Имя политики: VPN-подключения Условия:

Для атрибута NAS-Port-Type выбрано значение Virtual (VPN).

Для атрибута Tunnel-Type выбрано значение Point-to-Point Tunneling Protocol.

Для атрибута Windows-Groups добавлена группа Employees (в соответствии с рассматриваемым примером) Разрешение на удаленный доступ: Предоставить право удаленного доступа Настройки профиля, вкладка Проверка подлинности (Authentication).

Установите флажок Протокол расширенной проверки подлинности (EAP) (Extensible Authentication Protocol), установите параметр Выберите приемлемый тип протокола для этой политики (EAP type) в значение Смарт-карта или иной сертификат (Smart Card or other Certificate) и снимите все другие флажки.

Настройки профиля, вкладка Шифрование (Encryption):

Установите флажок Самое стойкое (Strongest) и затем снимите все другие флажки.

7. Если Вы создали новые политики удаленного доступа, то или удалите политику удаленного доступа по умолчанию под названием Разрешить доступ, если разрешены входящие подключения (Allow access if dial-up permission is enabled) или переместите ее в конец списка политик, чтобы она применялась в последнюю очередь. Для получения дополнительной информации обратитесь к разделам Удаление политики удаленного доступа (Delete a remote access policy) и Изменение порядка применения политик (Change the policy evaluation order) справки Windows Server Server.