Как и предыдущие версии Windows Server, Windows Server 2008
включает отличный пакет управления подключениями Connection
Manager Administration Kit (CMAK), который можно использовать
для создания объектов подключения (connectoids) VPN, которые
пользователи могут использовать для подключения к вашему
Windows Server 2008 VPN серверу. На самом деле можно
использовать эти объекты для подключения к любому Windows VPN
серверу, если использовать поддерживаемые протоколы.
Преимущество использования CMAK заключается в том, что вы
можете создавать исполняемые файлы, которые пользователи
смогут загружать с веб сайтов. Затем, все, что им нужно будет
сделать, это дважды нажать на этом файле, и объект
подключения, который вы для них настроили, будет автоматически
установлен на их компьютеры. Затем пользователям нужно будет
дважды нажать на объект подключения в папке «Сетевые
подключения», чтобы вызвать ваше VPN соединение. Этот метод
значительно проще, чем пытаться научить ваших пользователей
тому, как создавать собственные VPN соединения.
CMAK является параметром Windows Server 2008, который можно
установить, используя менеджера Windows Server 2008 Server
Manager. Просто нажмите на ссылке «Параметры» в левой панели
консоли и выберите опцию Добавить функцию. На странице
Выбор функций выберите Пакет управления
подключениями откройте и установите его.
Затем вы можете открыть CMAK из меню Инструменты
администрирования. Первое, что вы увидите, это
приветственная страница мастера Welcome to the Connection
Manager Administration Kit Wizard. Нажмите
Далее.
Рисунок 1
На странице Выберите целевую ОС вы выбираете
операционную систему, для которой хотите создать объект
подключения. Одной основной разницей между Windows XP и
Windows Vista является то, что Vista поддерживает SSTP SSL VPN
протоколы. В этом примере мы выберем опцию Windows
Vista и нажмем Далее.
Рисунок 2
На странице Создать или изменить профиль менеджера
подключений вы можете выбрать опцию создания нового
профиля, или объединить параметры, созданные вами сейчас, с
профилем, который вы создали ранее. В этом примере я буду
создавать новый профиль. Нажмите Далее.
Рисунок 3
На странице Указать имя службы и имя файла вы
вводите имя объекта подключения и имя файла CMAK пакета. В
этом примере мы определим имя службы как Corporate
VPN. Это имя конечные пользователи увидят после установки
CMAK пакета. В поле Имя файла мы введем CorpVPN.
Это будет имя CMAK пакета, который будет создан, и имя файла,
который пользователи будут скачивать и устанавливать.
Рисунок 4
На странице Указать имя области вы вводите имя
области для имени пользователя. Это обычно используется в том
случае, если вы используете ваш ISP в качестве шлюза
аутентификации на вашем VPN сервере. В этом примере мы не
будем использовать имя области, поэтому жмем Далее.
Рисунок 5
Вы можете внести информацию с других профилей на странице
Ввести информацию из других профилей. Эта страница
отличается от предыдущей, на которой вам была дана возможность
обновить ранее созданный профиль. Эта страница позволяет нам
импортировать информацию телефонной книги из нескольких других
профилей. В этом примере у нас нет других профилей с
информацией телефонной книги, поэтому жмем Далее.
Рисунок 6
На странице Добавить поддержку VPN соединений вы
можете настраивать объекты подключений VPN на соединение с VPN
напрямую через Интернет, или через dial-up соединение. Dial-up
соединения уже не так широко используются, поэтому здесь мы
будет использовать VPN подключение напрямую через Интернет.
Ставим флажок напротив строки Телефонная книга этого
профиля, затем выбираем опцию всегда использовать один
VPN сервер или разрешить пользователю выбирать VPN
сервер перед соединением. Если вы выберите опцию
разрешить пользователю выбирать VPN сервер перед
соединением, вам придется найти .txt файл, который
содержит имена этих серверов, как показано на рисунке
ниже.
В этом примере у нас есть только один VPN сервер, или VPN
сервер, который использует NLB и один IP адрес, поэтому мы
введем этот IP адрес в поле Всегда использовать один VPN
сервер. Жмем Далее.
Рисунок 7
Рисунок 8
На странице Создать или изменить VPN запись, вы
можете задавать подробности конфигурации для VPN соединения.
Стандартное значение Корпоративный VPN туннель уже
будет создано за нас. Нажимаем кнопку Изменить, чтобы
внести изменения.
Рисунок 9
На вкладке Общие у вас есть опция включения и
отключения совместного использования файлов и принтеров для
VPN клиентов. Это обычно хорошая идея для клиентских
подключений VPN, поскольку эти узлы, как правило, не имеют
файлов и принтеров, которые они будут совместно использовать в
сети, к которой подключаются. У вас также есть возможность
включения IPv4 и IPv6 вместе или по отдельности для VPN
клиента. В этом примере я активирую оба типа подключения IPv4
и IPv6.
Рисунок 10
На вкладке IPv4 мы можем устанавливать адреса
предпочитаемого и альтернативного DNS сервера. Или можно их
настроить таким образом, что клиенты будут получать эту
информацию с VPN сервера. В большинстве случаев используется
именно метод получения VPN клиентом этой информации с VPN
сервера.
Вы также можете настроить объект так, что клиент будет
использовать VPN соединение в качестве клиентского шлюза по
умолчанию. Когда вы это делаете, то отключаете раздельное
туннелирование, что очень хорошо. Однако это также означает,
что когда клиент захочет подключиться к Интернету, ему
придется делать это либо через VPN сервер, к которому он
подключен, либо через Winsock и Web Proxy сервер (такой как
ISA Firewall), который расположен на другой машине в сети.
Хотя это налагает двойную нагрузку на ваше подключение к
Интернету, отключение раздельного туннелирования является
лучшей практикой при использовании VPN сетей и предоставляет
больше безопасности.
Наконец, вы можете включить или отключать сжатие
заголовков. По умолчанию оно включено и, по большому счету,
лучше его оставить включенным. Это позволяет вам увеличить
пропускную способность удаленных клиентских VPN
соединений.
Рисунок 11
Мы пропустим вкладку IPv6.
На вкладке Безопасность вы можете настроить объект
так, чтобы клиент запрашивал шифрование. Вы также можете
настроить VPN стратегию, которая представляет собой то,
как VPN клиент будет пытаться подключиться к VPN серверу.
Здесь у вас есть следующие опции:
- Использовать только протокол «точка-точка» (PPTP)
- Сначала пробовать протокол PPTP
- Использовать только протокол L2TP
- Сначала пробовать протокол L2ТP
- Использовать только протокол SSTP
- Сначала пробовать протокол SSTP
Клиент VPN будет пробовать VPN протоколы в следующем
порядке: сначала PPTP, затем L2TP/IPsec и потом SSTP. Однако
если вы выберите другой протокол в качестве первого, то
порядок будет изменен. К примеру, если вы выберите опцию
«сначала пробовать протокол SSTP VPN», то первым будет
протокол SSTP, вторым – PPTP, и третьим – L2TP/IPsec.
В рамке Безопасность входа вы можете выбрать опции
Использовать отрытый протокол аутентификации или
Методы аутентификации. Если вы выберите первую опцию,
то сможете настроить EAP аутентификацию, которую будете
использовать. Если выберите вторую опцию, то можете отметить
флажками те протоколы, которые хотите поддерживать, включая
PAP, CHAP и MS-CHAPv2.
Рисунок 12
Если вы выберите опцию PEAP, вы можете принудить клиента на
подтверждение сертификата сервера, а также принудить его на
подключение к определенному серверу, как определено в
общем/субъектном имени сертификата сервера, предоставляемого
клиенту VPN сервером. Вы также можете ограничить «Доверенные
корневые центры сертификации» (Trusted Root Certification
Authorities). Обратите внимание на то, что в этом примере я
выбрал PEAP, но в нескольких статьях о PEAP на TechNet,
говорилось о том, что PEAP не поддерживается на VPN клиентах.
Возможно, это было ограничение версии Windows Server 2003, или
ошибка в CMAK интерфейсе, или что-то еще. Я дам вам знать,
если найду ответ на этот вопрос. Для дополнительной информации
о PEAP для Windows Server 2003, перейдите по ссылке PEAP
Однако если вы посмотрите в эту таблицу
то увидите, что PEAP-MS-CHAPv2 поддерживается для VPN
соединений удаленного доступа.
Рисунок 13
На вкладке Дополнительно вы можете ввести DNS
суффикс, который будет использоваться клиентским VPN
соединением, и который также будет использоваться для
регистрации на DDNS в вашей внутренней сети, если DDNS включен
для этих клиентов.
Рисунок 14
На странице Добавить телефонную книгу вы можете
включить номера, используемые для подключения к dial-up
серверу, прежде чем VPN соединение установлено. Поскольку в
этом примере мы не используем dial-up серверы, мы не будем
создавать телефонную книгу.
Рисунок 15
На странице Укажите обновления таблицы маршрутизации
вы можете выбрать опцию обновления таблицы маршрутизации на
клиенте удаленного доступа VPN, чтобы он знал текущие
маршруты, к которым подключен. Если вы выберите опцию
Определить обновление таблицы маршрутизации, вам нужно
будет предоставить файл маршрутизации, используя формат,
описанный здесь.
Если вы введете запись в URL для файла
маршрутизации, записи таблицы маршрутизации будут
обновлены на основе записей, включенных в файл, на который
ссылается этот URL.
Нажмите Далее.
Рисунок 16
На странице Настройка параметров прокси для Internet
Explorer вы устанавливаете веб прокси адрес, который
обозреватель будет использовать, когда подключен к VPN.
Обратите внимание на то, что это не тот же адрес, который
клиент может использовать, когда он не подключен к VPN. Здесь
есть следующие опции:
- Не настраивать параметры прокси
- Автоматически копировать параметры прокси Internet
Explorer для текущего пользователя в интерфейс туннеля. Это
предполагает, что пользователь уже настроил параметры веб
прокси в Internet Explorer, которые отменяют точку
автоматизации настройки клиента VPN
- Автоматически настроить параметры прокси
Последняя опция требует того, чтобы вы создали текстовый
файл, который содержит настроенные вами параметры прокси. Этот
URL
содержит подробное описание требований к текстовому файлу.
Настройка веб прокси сервера полезна, когда вам нужно,
чтобы VPN клиент использовал веб прокси сервер, находящийся не
на машине VPN сервера, к которому клиент будет подключаться. К
тому же, большинство веб прокси серверов, используемых
корпорациями, обладают возможностью фильтровать сайты и их
содержимое, тем самым значительно повышая безопасность ваших
клиентских VPN соединений удаленного доступа. Нажимаем
Далее.
Рисунок 17
Есть несколько настроек, которые вы можете создать, чтобы
клиент VPN осуществлял их самостоятельно. Например, вы можете
создать объект так, что перед созданием подключения нужно
будет выполнить некоторые действия, а некоторые – нужно будет
выполнить перед отключением. Здесь требуются определенные
навыки разработчика, но если вас это заинтересовало, прочтите
эту страницу
CMAK для дополнительной информации.
Рисунок 18
На странице Отображать пользовательскую битовую карту
входа, вы можете включить пользовательский график, который
будет появляться в окне подключения клиента VPN. Если вы
решили создать этот график, он должен иметь размеры 330x140
пикселей. Используйте кнопку Обзор, чтобы найти
пользовательский график. В этом примере я не буду использовать
график, поэтому приму параметры по умолчанию, Стандартный
график и нажму Далее.
Рисунок 19
Вы также можете создавать пользовательский график для
телефонной книги. Этот график должен иметь размеры
114x309 пикселей. В этом примере у нас нет телефонной
книги, поэтому мы примем параметры по умолчанию,
Стандартный график и нажмем Далее.
Рисунок 20
Вы даже можете создать пользовательские файлы иконок,
которые будут отображаться в папке «Сетевой центр» или
«Сетевые подключения». Это должны быть файлы с расширением
.ico, чтобы их можно было использовать. У нас нет никаких
пользовательских файлов иконок в этом примере, поэтому
принимаем стандартное значение, Иконка по умолчанию и
нажимаем Далее.
Рисунок 21
Если у вас есть пользовательский файл помощи в формате
.chm, вы можете выбрать его использование в качестве файла
помощи на странице Включить пользовательский файл
помощи. У нас нет такого файла, поэтому жмем
Далее.
Рисунок 22
На странице Отображать информацию поддержки клиентов
вы можете указать телефонный номер, по которому пользователи
смогут обращаться за технической поддержкой. Жмем
Далее.
Рисунок 23
На странице Отображать лицензионное соглашение вы
можете включить текстовый файл лицензионного соглашения,
который пользователи будут видеть при установке объекта VPN
подключения. В этом примере у нас отсутствует такой файл,
поэтому жмем Далее.
Рисунок 24
На странице Установка дополнительных файлов с профилем
менеджера соединений вы можете включить дополнительные
файлы, которые могут использоваться для выполнения
определенных действий перед и после подключения, а также для
отключения. Например, если бы вам пришлось использовать
функцию Windows Remote Access Quarantine Control (контроль
карантина удаленного доступа), вам нужно было бы включить этот
компонент или решение, как часть профиля. У нас нет никаких
дополнительных файлов в этом примере, поэтому нажимаем
Далее.
Рисунок 25
Вот и все! Профиль создан и установочный файл готов к
компиляции. Нажмите Закончить, чтобы создать
установочный файл CMAK.
Рисунок 26
Windows Explorer откроет папку, в которой содержится
установочный файл. Помимо этого установочного файла папка
будет содержать другие файлы, которые вы сможете использовать
для обновления пакета. Скопируйте .exe файл в то место, из
которого пользователи смогут его скачать, например, в общую
папку или на веб сайт, а затем скажите пользователям, которым
необходимо VPN подключение, чтобы они получили файл и
установили его на своих компьютерах.
Рисунок 27
Давайте запустим файл и посмотрим на то, с чем придется
столкнуться пользователям при его установке. Сначала у них
появится диалоговое окно, в котором будет задан вопрос, хотят
ли они установить Corporate VPN. Это то название, которое мы
задали в самом начале работы с CMAK. Нажимаем Да.
У пользователя будет выбор либо сделать это подключение
доступным для Всех пользователей или Только для
меня. Однако пользователям необходимо знать о том, что
если они будут входить через dial-up соединение, то им нужно
будет сделать этот объект подключения доступным для Всех
пользователей. В противном случае, на машине будут
отсутствовать пользователи, регистрировавшиеся для выхода в
сеть, до первого входа, и поэтому компьютер не сможет
определить того, кто этот пользователь, а, следовательно, не
позволит dial-up подключение. Если пользователи входят не
через dial-up подключение, то могут использовать опцию
Только для меня для более безопасной конфигурации.
Рисунок 28
Появляется диалоговое окно регистрации. Введите имя
пользователя, пароль и домен, если VPN сервер входит в домен,
в котором вы используете RADIUS для аутентификации домена.
Нажмите Подключить. Вот и все! Пользователи будут
подключены к VPN.
Рисунок 29
Резюме
Пакет CMAK предоставляет вам простой способ создания
профилей службы подключения для пользователей VPN.
Пользователям не нужно будет знать детали конфигурации, не
нужно будет запоминать имя VPN сервера, и не нужно будет
углубляться в подробности VPN протоколов, которые нужны для
подключения к VPN серверу. Это должно снизить количество
обращений в связи с проблемами настройки объектов соединения
VPN в стол помощи. Обратите внимание на то, что хотя
конфигурация предварительно настроена для пользователя, он/а
может вносить свои изменения в конфигурацию, поэтому данный
метод не предназначен для того, чтобы лишить конечных
пользователей возможности настраивать конфигурацию своих
приложений.