Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Windows Server 2008 Администрирование Пакет управления подключениями Windows Server 2008 Connection Manager Administration Kit RSS

Пакет управления подключениями Windows Server 2008 Connection Manager Administration Kit

Текущий рейтинг: 4.54 (проголосовало 13)
 Посетителей: 8718 | Просмотров: 13768 (сегодня 0)  Шрифт: - +

Как и предыдущие версии Windows Server, Windows Server 2008 включает отличный пакет управления подключениями Connection Manager Administration Kit (CMAK), который можно использовать для создания объектов подключения (connectoids) VPN, которые пользователи могут использовать для подключения к вашему Windows Server 2008 VPN серверу. На самом деле можно использовать эти объекты для подключения к любому Windows VPN серверу, если использовать поддерживаемые протоколы.

Преимущество использования CMAK заключается в том, что вы можете создавать исполняемые файлы, которые пользователи смогут загружать с веб сайтов. Затем, все, что им нужно будет сделать, это дважды нажать на этом файле, и объект подключения, который вы для них настроили, будет автоматически установлен на их компьютеры. Затем пользователям нужно будет дважды нажать на объект подключения в папке «Сетевые подключения», чтобы вызвать ваше VPN соединение. Этот метод значительно проще, чем пытаться научить ваших пользователей тому, как создавать собственные VPN соединения.

CMAK является параметром Windows Server 2008, который можно установить, используя менеджера Windows Server 2008 Server Manager. Просто нажмите на ссылке «Параметры» в левой панели консоли и выберите опцию Добавить функцию. На странице Выбор функций выберите Пакет управления подключениями откройте и установите его.

Затем вы можете открыть CMAK из меню Инструменты администрирования. Первое, что вы увидите, это приветственная страница мастера Welcome to the Connection Manager Administration Kit Wizard. Нажмите Далее.

Рисунок 1

Рисунок 1

На странице Выберите целевую ОС вы выбираете операционную систему, для которой хотите создать объект подключения. Одной основной разницей между Windows XP и Windows Vista является то, что Vista поддерживает SSTP SSL VPN протоколы. В этом примере мы выберем опцию Windows Vista и нажмем Далее.

 Рисунок 2

Рисунок 2

На странице Создать или изменить профиль менеджера подключений вы можете выбрать опцию создания нового профиля, или объединить параметры, созданные вами сейчас, с профилем, который вы создали ранее. В этом примере я буду создавать новый профиль. Нажмите Далее.

 Рисунок 3

Рисунок 3

На странице Указать имя службы и имя файла вы вводите имя объекта подключения и имя файла CMAK пакета. В этом примере мы определим имя службы как Corporate VPN. Это имя конечные пользователи увидят после установки CMAK пакета. В поле Имя файла мы введем CorpVPN. Это будет имя CMAK пакета, который будет создан, и имя файла, который пользователи будут скачивать и устанавливать.

 Рисунок 4

Рисунок 4

На странице Указать имя области вы вводите имя области для имени пользователя. Это обычно используется в том случае, если вы используете ваш ISP в качестве шлюза аутентификации на вашем VPN сервере. В этом примере мы не будем использовать имя области, поэтому жмем Далее.

 Рисунок 5

Рисунок 5

Вы можете внести информацию с других профилей на странице Ввести информацию из других профилей. Эта страница отличается от предыдущей, на которой вам была дана возможность обновить ранее созданный профиль. Эта страница позволяет нам импортировать информацию телефонной книги из нескольких других профилей. В этом примере у нас нет других профилей с информацией телефонной книги, поэтому жмем Далее.

 Рисунок 6

Рисунок 6

На странице Добавить поддержку VPN соединений вы можете настраивать объекты подключений VPN на соединение с VPN напрямую через Интернет, или через dial-up соединение. Dial-up соединения уже не так широко используются, поэтому здесь мы будет использовать VPN подключение напрямую через Интернет. Ставим флажок напротив строки Телефонная книга этого профиля, затем выбираем опцию всегда использовать один VPN сервер или разрешить пользователю выбирать VPN сервер перед соединением. Если вы выберите опцию разрешить пользователю выбирать VPN сервер перед соединением, вам придется найти .txt файл, который содержит имена этих серверов, как показано на рисунке ниже.

В этом примере у нас есть только один VPN сервер, или VPN сервер, который использует NLB и один IP адрес, поэтому мы введем этот IP адрес в поле Всегда использовать один VPN сервер. Жмем Далее.

 Рисунок 7

Рисунок 7

Рисунок 8

На странице Создать или изменить VPN запись, вы можете задавать подробности конфигурации для VPN соединения. Стандартное значение Корпоративный VPN туннель уже будет создано за нас. Нажимаем кнопку Изменить, чтобы внести изменения.

 Рисунок 9

Рисунок 9

На вкладке Общие у вас есть опция включения и отключения совместного использования файлов и принтеров для VPN клиентов. Это обычно хорошая идея для клиентских подключений VPN, поскольку эти узлы, как правило, не имеют файлов и принтеров, которые они будут совместно использовать в сети, к которой подключаются. У вас также есть возможность включения IPv4 и IPv6 вместе или по отдельности для VPN клиента. В этом примере я активирую оба типа подключения IPv4 и IPv6.

 Рисунок 10

Рисунок 10

На вкладке IPv4 мы можем устанавливать адреса предпочитаемого и альтернативного DNS сервера. Или можно их настроить таким образом, что клиенты будут получать эту информацию с VPN сервера. В большинстве случаев используется именно метод получения VPN клиентом этой информации с VPN сервера.

Вы также можете настроить объект так, что клиент будет использовать VPN соединение в качестве клиентского шлюза по умолчанию. Когда вы это делаете, то отключаете раздельное туннелирование, что очень хорошо. Однако это также означает, что когда клиент захочет подключиться к Интернету, ему придется делать это либо через VPN сервер, к которому он подключен, либо через Winsock и Web Proxy сервер (такой как ISA Firewall), который расположен на другой машине в сети. Хотя это налагает двойную нагрузку на ваше подключение к Интернету, отключение раздельного туннелирования является лучшей практикой при использовании VPN сетей и предоставляет больше безопасности.

Наконец, вы можете включить или отключать сжатие заголовков. По умолчанию оно включено и, по большому счету, лучше его оставить включенным. Это позволяет вам увеличить пропускную способность удаленных клиентских VPN соединений.

Рисунок 11

Рисунок 11

Мы пропустим вкладку IPv6.

На вкладке Безопасность вы можете настроить объект так, чтобы клиент запрашивал шифрование. Вы также можете настроить VPN стратегию, которая представляет собой то, как VPN клиент будет пытаться подключиться к VPN серверу. Здесь у вас есть следующие опции:

  • Использовать только протокол «точка-точка» (PPTP)
  • Сначала пробовать протокол PPTP
  • Использовать только протокол L2TP
  • Сначала пробовать протокол L2ТP
  • Использовать только протокол SSTP
  • Сначала пробовать протокол SSTP

Клиент VPN будет пробовать VPN протоколы в следующем порядке: сначала PPTP, затем L2TP/IPsec и потом SSTP. Однако если вы выберите другой протокол в качестве первого, то порядок будет изменен. К примеру, если вы выберите опцию «сначала пробовать протокол SSTP VPN», то первым будет протокол SSTP, вторым – PPTP, и третьим – L2TP/IPsec.

В рамке Безопасность входа вы можете выбрать опции Использовать отрытый протокол аутентификации или Методы аутентификации. Если вы выберите первую опцию, то сможете настроить EAP аутентификацию, которую будете использовать. Если выберите вторую опцию, то можете отметить флажками те протоколы, которые хотите поддерживать, включая PAP, CHAP и MS-CHAPv2.

 Рисунок 12

Рисунок 12

Если вы выберите опцию PEAP, вы можете принудить клиента на подтверждение сертификата сервера, а также принудить его на подключение к определенному серверу, как определено в общем/субъектном имени сертификата сервера, предоставляемого клиенту VPN сервером. Вы также можете ограничить «Доверенные корневые центры сертификации» (Trusted Root Certification Authorities). Обратите внимание на то, что в этом примере я выбрал PEAP, но в нескольких статьях о PEAP на TechNet, говорилось о том, что PEAP не поддерживается на VPN клиентах. Возможно, это было ограничение версии Windows Server 2003, или ошибка в CMAK интерфейсе, или что-то еще. Я дам вам знать, если найду ответ на этот вопрос. Для дополнительной информации о PEAP для Windows Server 2003, перейдите по ссылке PEAP

Однако если вы посмотрите в эту таблицу то увидите, что PEAP-MS-CHAPv2 поддерживается для VPN соединений удаленного доступа.

Рисунок 13

Рисунок 13

На вкладке Дополнительно вы можете ввести DNS суффикс, который будет использоваться клиентским VPN соединением, и который также будет использоваться для регистрации на DDNS в вашей внутренней сети, если DDNS включен для этих клиентов.

Рисунок 14

Рисунок 14

На странице Добавить телефонную книгу вы можете включить номера, используемые для подключения к dial-up серверу, прежде чем VPN соединение установлено. Поскольку в этом примере мы не используем dial-up серверы, мы не будем создавать телефонную книгу.

 Рисунок 15

Рисунок 15

На странице Укажите обновления таблицы маршрутизации вы можете выбрать опцию обновления таблицы маршрутизации на клиенте удаленного доступа VPN, чтобы он знал текущие маршруты, к которым подключен. Если вы выберите опцию Определить обновление таблицы маршрутизации, вам нужно будет предоставить файл маршрутизации, используя формат, описанный здесь.

Если вы введете запись в URL для файла маршрутизации, записи таблицы маршрутизации будут обновлены на основе записей, включенных в файл, на который ссылается этот URL.

Нажмите Далее.

Рисунок 16

Рисунок 16

На странице Настройка параметров прокси для Internet Explorer вы устанавливаете веб прокси адрес, который обозреватель будет использовать, когда подключен к VPN. Обратите внимание на то, что это не тот же адрес, который клиент может использовать, когда он не подключен к VPN. Здесь есть следующие опции:

  • Не настраивать параметры прокси
  • Автоматически копировать параметры прокси Internet Explorer для текущего пользователя в интерфейс туннеля. Это предполагает, что пользователь уже настроил параметры веб прокси в Internet Explorer, которые отменяют точку автоматизации настройки клиента VPN
  • Автоматически настроить параметры прокси

Последняя опция требует того, чтобы вы создали текстовый файл, который содержит настроенные вами параметры прокси. Этот URL содержит подробное описание требований к текстовому файлу.

Настройка веб прокси сервера полезна, когда вам нужно, чтобы VPN клиент использовал веб прокси сервер, находящийся не на машине VPN сервера, к которому клиент будет подключаться. К тому же, большинство веб прокси серверов, используемых корпорациями, обладают возможностью фильтровать сайты и их содержимое, тем самым значительно повышая безопасность ваших клиентских VPN соединений удаленного доступа. Нажимаем Далее.

 Рисунок 17

Рисунок 17

Есть несколько настроек, которые вы можете создать, чтобы клиент VPN осуществлял их самостоятельно. Например, вы можете создать объект так, что перед созданием подключения нужно будет выполнить некоторые действия, а некоторые – нужно будет выполнить перед отключением. Здесь требуются определенные навыки разработчика, но если вас это заинтересовало, прочтите эту страницу CMAK для дополнительной информации.

 Рисунок 18

Рисунок 18

На странице Отображать пользовательскую битовую карту входа, вы можете включить пользовательский график, который будет появляться в окне подключения клиента VPN. Если вы решили создать этот график, он должен иметь размеры 330x140 пикселей. Используйте кнопку Обзор, чтобы найти пользовательский график. В этом примере я не буду использовать график, поэтому приму параметры по умолчанию, Стандартный график и нажму Далее.

 Рисунок 19

Рисунок 19

Вы также можете создавать пользовательский график для телефонной книги. Этот график должен иметь размеры 114x309 пикселей. В этом примере у нас нет телефонной книги, поэтому мы примем параметры по умолчанию, Стандартный график и нажмем Далее.

 Рисунок 20

Рисунок 20

Вы даже можете создать пользовательские файлы иконок, которые будут отображаться в папке «Сетевой центр» или «Сетевые подключения». Это должны быть файлы с расширением .ico, чтобы их можно было использовать. У нас нет никаких пользовательских файлов иконок в этом примере, поэтому принимаем стандартное значение, Иконка по умолчанию и нажимаем Далее.

 Рисунок 21

Рисунок 21

Если у вас есть пользовательский файл помощи в формате .chm, вы можете выбрать его использование в качестве файла помощи на странице Включить пользовательский файл помощи. У нас нет такого файла, поэтому жмем Далее.

 Рисунок 22

Рисунок 22

На странице Отображать информацию поддержки клиентов вы можете указать телефонный номер, по которому пользователи смогут обращаться за технической поддержкой. Жмем Далее.

 Рисунок 23

Рисунок 23

На странице Отображать лицензионное соглашение вы можете включить текстовый файл лицензионного соглашения, который пользователи будут видеть при установке объекта VPN подключения. В этом примере у нас отсутствует такой файл, поэтому жмем Далее.

 Рисунок 24

Рисунок 24

На странице Установка дополнительных файлов с профилем менеджера соединений вы можете включить дополнительные файлы, которые могут использоваться для выполнения определенных действий перед и после подключения, а также для отключения. Например, если бы вам пришлось использовать функцию Windows Remote Access Quarantine Control (контроль карантина удаленного доступа), вам нужно было бы включить этот компонент или решение, как часть профиля. У нас нет никаких дополнительных файлов в этом примере, поэтому нажимаем Далее.

 Рисунок 25

Рисунок 25

Вот и все! Профиль создан и установочный файл готов к компиляции. Нажмите Закончить, чтобы создать установочный файл CMAK.

 Рисунок 26

Рисунок 26

Windows Explorer откроет папку, в которой содержится установочный файл. Помимо этого установочного файла папка будет содержать другие файлы, которые вы сможете использовать для обновления пакета. Скопируйте .exe файл в то место, из которого пользователи смогут его скачать, например, в общую папку или на веб сайт, а затем скажите пользователям, которым необходимо VPN подключение, чтобы они получили файл и установили его на своих компьютерах.

 Рисунок 27

Рисунок 27

Давайте запустим файл и посмотрим на то, с чем придется столкнуться пользователям при его установке. Сначала у них появится диалоговое окно, в котором будет задан вопрос, хотят ли они установить Corporate VPN. Это то название, которое мы задали в самом начале работы с CMAK. Нажимаем Да.

У пользователя будет выбор либо сделать это подключение доступным для Всех пользователей или Только для меня. Однако пользователям необходимо знать о том, что если они будут входить через dial-up соединение, то им нужно будет сделать этот объект подключения доступным для Всех пользователей. В противном случае, на машине будут отсутствовать пользователи, регистрировавшиеся для выхода в сеть, до первого входа, и поэтому компьютер не сможет определить того, кто этот пользователь, а, следовательно, не позволит dial-up подключение. Если пользователи входят не через dial-up подключение, то могут использовать опцию Только для меня для более безопасной конфигурации.

Рисунок 28

Рисунок 28

Появляется диалоговое окно регистрации. Введите имя пользователя, пароль и домен, если VPN сервер входит в домен, в котором вы используете RADIUS для аутентификации домена. Нажмите Подключить. Вот и все! Пользователи будут подключены к VPN.

Рисунок 29

Рисунок 29

Резюме

Пакет CMAK предоставляет вам простой способ создания профилей службы подключения для пользователей VPN. Пользователям не нужно будет знать детали конфигурации, не нужно будет запоминать имя VPN сервера, и не нужно будет углубляться в подробности VPN протоколов, которые нужны для подключения к VPN серверу. Это должно снизить количество обращений в связи с проблемами настройки объектов соединения VPN в стол помощи. Обратите внимание на то, что хотя конфигурация предварительно настроена для пользователя, он/а может вносить свои изменения в конфигурацию, поэтому данный метод не предназначен для того, чтобы лишить конечных пользователей возможности настраивать конфигурацию своих приложений.

Автор: Томас Шиндер  •  Иcточник: WinSecurity.ru  •  Опубликована: 02.07.2008
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
27.07.2010/15:03  pahanych

Все просто и понятно расписано. Вот только после создания пакета подключений, это пакет на другой машине под Windows XP не разворачивается! Пишет- "... не является приложением win32". Что это?
Комментарии отключены. С вопросами по статьям обращайтесь в форум.