Rozdział 11

Wirtualne Sieci Prywatne

Rozwiązania natychmiastowe [Author ID1: at Thu Oct 5 04:42:00 2000 ]zobacz na stronie

Określanie startegii Wirtualnych sieci prywatnych (VPN)

Instalowanie serwera VPN

Konfigurowanie serwera VPN

Konfigurowanie klienta VPN

Organizowanie kont użytkowników usługi Dostęp zdalny (r[Author ID1: at Thu Oct 5 04:43:00 2000 ]R[Author ID1: at Thu Oct 5 04:43:00 2000 ]emote a[Author ID1: at Thu Oct 5 04:43:00 2000 ]A[Author ID1: at Thu Oct 5 04:43:00 2000 ]ccess)

Tworzenie zasad dostępu zdalnego (remote access policy) dla połączeń VPN ruter-ruter

Włączanie uwierzytelniania wzajemnego

Automatyczne uzyskiwanie certyfikatu komputera

Dodawanie portów L2TP i PPTP

Konfigurowanie serwera usługi RADIUS

W skrócie

Zastosowanie Wirtualnych Sieci Prywatnych

Wirtualne Sieci Prywatne (Virtual Private Networks [Author ID1: at Thu Oct 5 04:43:00 2000 ]-[Author ID1: at Thu Oct 5 04:43:00 2000 ]— [Author ID1: at Thu Oct 5 04:43:00 2000 ]VPNs) umożliwiają użytkownikom zdalnym (remote users) bezpieczne łączenie się z serwerem w firmie,[Author ID1: at Thu Oct 5 04:43:00 2000 ] korzystającym z sieci publicznych,[Author ID1: at Thu Oct 5 04:44:00 2000 ] takich jak Internet. Wirtualne Sieci Prywatne (VPN) [Author ID1: at Thu Oct 5 04:44:00 2000 ]mogą również zapewniać kanały bezpieczne w wielkiej sieci intranet firmy. Rodzaj sieci pośrednich (intermediate internetwork) nie ma nic wspólnego z użytkownikiem, ponieważ wygląda to, jak gdyby dane były przesyłane przez specjalne łącze prywatne.

Korzystając z wirtualnych sieci prywatnych (VPN)[Author ID1: at Thu Oct 5 04:44:00 2000 ],[Author ID1: at Thu Oct 5 04:44:00 2000 ] użytkownicy mobilni (roaming users) mogą łączyć się z najbliższym usługodawcą internetowym (Internet Service Provider [Author ID1: at Thu Oct 5 04:44:00 2000 ]-[Author ID1: at Thu Oct 5 04:44:00 2000 ]— [Author ID1: at Thu Oct 5 04:44:00 2000 ]ISP) i ustanowić kanał bezpieczny praktycznie z dowolnego miejsca. Filie przedsiębiorstwa, pod[Author ID1: at Thu Oct 5 04:44:00 2000 ]łączone do Internetu łączami stałymi,[Author ID1: at Thu Oct 5 04:45:00 2000 ] takimi jak linie T1 lub T3,[Author ID1: at Thu Oct 5 04:45:00 2000 ] czy też technologia Frame Relay, mogą łączyć się z centralą na żądanie (on-demand connection) znacznie taniej niż w przypadku łącza dzierżawionego. Dane o szczególnym znaczeniu mogą być przesyłane bezpiecznie poprzez sieć firmową, chronione jak tylko można najlepirj przed atakami od wewnątrz.

Połączenia poprzez Wirtualne Sieci Prywatne (VPN) mogą być jedno- lub dwukierunkowe. Jednak nie odnosi się to do przepływu informacji, który zawsze odbywa się w obu kierunkach, ale do sposobu inicjowania wymiany danych. Użytkownik mobilny (roaming user) [Author ID1: at Thu Oct 5 04:47:00 2000 ]będzie inicjował sesję połączenia z centralą przedsiebiorstwa,[Author ID1: at Thu Oct 5 04:47:00 2000 ] a jego [Author ID1: at Thu Oct 5 04:47:00 2000 ]oddziały przedsiębiorstwa [Author ID1: at Thu Oct 5 04:47:00 2000 ]zwykle [Author ID1: at Thu Oct 5 04:47:00 2000 ]przedsiębiorstwa na ogół [Author ID1: at Thu Oct 5 04:47:00 2000 ]będą inicjować połączenie z dyrekcją główną (corporate headquaters). Są to przykłady połączeń jednokierunkowych (one-way connections), w których centrala przedsiębiorstwa lub dyrekcja główna (corporate headquaters) [Author ID1: at Thu Oct 5 04:47:00 2000 ]akceptują połączenia za pomocą serwera Wirtualnych Sieci Prywatnych (VPN server), tzn. serwera RRAS (Routing and Remote Access Service server), który ma możliwości ustanawiania połączeń poprzez Wirualne Sieci Prywatne (VPN connections), określanego nazwą routera odpowiadającego (answering router). W przypadku oddziałów przedsiębiorstwa komputery-klienty[Author ID1: at Thu Oct 5 04:48:00 2000 ]ci[Author ID1: at Thu Oct 5 04:48:00 2000 ] będą łączyć się za pomocą własnego, lokalnego serwera RRAS, określanego nazwą routera wywołującego (calling router).

Czasem może zajść potrzeba zainicjowania wymiany danych ze strony dyrekcji głównej (corporate headquaters)[Author ID1: at Thu Oct 5 04:48:00 2000 ]. W takim przypadku serwery Wirtualnych Sieci Prywatnych (VPN servers) [Author ID1: at Thu Oct 5 04:48:00 2000 ]na obu końcach połączenia Wirtualnej Sieci Prywatnej (VPN link) lub tunelu (tunnel) są konfigurowane jako wzajemni[Author ID1: at Thu Oct 5 04:48:00 2000 ]e[Author ID1: at Thu Oct 5 04:48:00 2000 ] klienci[Author ID1: at Thu Oct 5 04:48:00 2000 ]ty[Author ID1: at Thu Oct 5 04:48:00 2000 ], tzn. obydwa są jednocześnie routerami wywołującymi i odpowiadającymi (calling and answering routers)[Author ID1: at Thu Oct 5 04:48:00 2000 ].

Uwaga: Niezależnie od tego, czy router odpowiadający (answering router) [Author ID1: at Thu Oct 5 04:48:00 2000 ]jest połączony z Internetem za pomocą usługodawcu internetowego (ISP) czy też do serwera IIS (Internet Information Server) w przedsiębiorstwie, musi to być połączenie stałe, ponieważ router ten musi być dostę[Author ID1: at Thu Oct 5 06:56:00 2000 ]e[Author ID1: at Thu Oct 5 06:56:00 2000 ]pny dla danych przychodzących za pomocą Wirtualnych Sieci Prywatnych (VPNs[Author ID1: at Thu Oct 5 04:49:00 2000 ]) 24 godziny na dobę.

Tunelowanie (t[Author ID1: at Thu Oct 5 04:49:00 2000 ]T[Author ID1: at Thu Oct 5 04:49:00 2000 ]unneling)

Tunelowanie (tunneling)[Author ID1: at Thu Oct 5 04:49:00 2000 ] jest sposobem przesyłania danych krążących w jednej sieci poprzez drugą sieć pośredniczącą. Przesyłane dane (payload) są podzielone na pakiety (packets) lub ramki (frames). Protokół tunelowania (tunneling protocol) opatruje (encapsulates) każdą ramkę (frame) [Author ID1: at Thu Oct 5 04:49:00 2000 ]lub pakiet (packet) [Author ID1: at Thu Oct 5 04:49:00 2000 ]dodatkowym nagłówkiem, zawierającym informacje dotyczące marszrutowania ([Author ID1: at Thu Oct 5 04:49:00 2000 ]routing information)[Author ID1: at Thu Oct 5 04:49:00 2000 ], aby dane użyteczne (payload) mogły przejść przez sieć pośredniczącą. Po dotarciu danych (payload) [Author ID1: at Thu Oct 5 04:51:00 2000 ]do punktu końcowego tunelu (tunnel endpoint) w sieci pośredniczącej, informacja jest rozpakowywana (unecapsulated) i przekazywana do ostatecznego adresata. Tunelowanie (tunneling) [Author ID1: at Thu Oct 5 04:51:00 2000 ]obejmuje hermetyzowanie (encapsulation), przesyłanie (transmission) i rozpakowywanie (unencapsulation).

Uwaga: Ramka (frame) [Author ID1: at Thu Oct 5 04:52:00 2000 ]zawiera nagłówek (header), właściwy dla danego protokołu transmisji, dane (frame data) oraz pole kontrol parzystości (CRC lub suma kontrolna). Pakiet (packet) [Author ID1: at Thu Oct 5 04:52:00 2000 ]może zawierać kilka związanych ze sobą ramek. Protokoły tunelowania warstwy 2.[Author ID1: at Thu Oct 5 04:52:00 2000 ] (warstwa łącza danych) (layer 2 (data-link layer) tunneling protocols) hermetyzują[Author ID1: at Thu Oct 5 04:52:00 2000 ]e[Author ID1: at Thu Oct 5 04:52:00 2000 ] (encapsulate) [Author ID1: at Thu Oct 5 04:52:00 2000 ]ramki (frames)[Author ID1: at Thu Oct 5 04:52:00 2000 ]. Protokoły tunelowania warstwy 3.[Author ID1: at Thu Oct 5 04:55:00 2000 ] ([Author ID1: at Thu Oct 5 04:55:00 2000 ]([Author ID1: at Thu Oct 5 04:55:00 2000 ]warstwa sieciowa) (layer 3 (network layer) tunneling protocols) hermetyzują[Author ID1: at Thu Oct 5 04:52:00 2000 ]e[Author ID1: at Thu Oct 5 04:52:00 2000 ] (encapsulate) [Author ID1: at Thu Oct 5 04:52:00 2000 ]pakiety (packets)[Author ID1: at Thu Oct 5 04:52:00 2000 ].

Tunele (tunnels) [Author ID1: at Thu Oct 5 04:53:00 2000 ]mogą być tworzone na dwa sposoby:

• t[Author ID1: at Thu Oct 5 04:53:00 2000 ]T[Author ID1: at Thu Oct 5 04:53:00 2000 ]unele nieobowiązkowe (v[Author ID1: at Thu Oct 5 04:53:00 2000 ]V[Author ID1: at Thu Oct 5 04:53:00 2000 ]oluntary tunnels) — K[Author ID1: at Thu Oct 5 04:53:00 2000 ]k[Author ID1: at Thu Oct 5 04:53:00 2000 ]lient wysyła żądanie VPN skonfigurowania i utworzenia tunelu nieobowiązkowego (voluntary tunnel)[Author ID1: at Thu Oct 5 04:54:00 2000 ]. W tym przypadku punktem docelowym tunelu (tunnel endpoint) jest komputer-klient. W przykładzie zamieszczonym w poprzednim rozdziale użytkownik mobilny (roaming user),[Author ID1: at Thu Oct 5 04:54:00 2000 ] łącząc się z centralą (central office), tworzy tunel nieobowiązkowy (voluntary tunnel)[Author ID1: at Thu Oct 5 04:54:00 2000 ],[Author ID1: at Thu Oct 5 04:54:00 2000 ].[Author ID1: at Thu Oct 5 04:54:00 2000 ]

• T[Author ID1: at Thu Oct 5 04:54:00 2000 ]t[Author ID1: at Thu Oct 5 04:54:00 2000 ]unele przymusowe (c[Author ID1: at Thu Oct 5 04:54:00 2000 ]C[Author ID1: at Thu Oct 5 04:54:00 2000 ]ompulsory tunnels) — S[Author ID1: at Thu Oct 5 04:54:00 2000 ]s[Author ID1: at Thu Oct 5 04:54:00 2000 ]erwer dostępu telefonicznego (dial-up access server) umożliwiający korzystanie z Wirtualnych Sieci Prywatnych (VPNs[Author ID1: at Thu Oct 5 04:54:00 2000 ]) konfiguruje i tworzy tunel przymusowy (compulsory tunnel)[Author ID1: at Thu Oct 5 04:54:00 2000 ]. W tym przypadku komputer użytkownika nie jest punktem końcowym tunelu (tunne[Author ID1: at Thu Oct 5 04:54:00 2000 ]l endpoint)[Author ID1: at Thu Oct 5 04:54:00 2000 ]. Tunel przymusowy (compulsory tunnel) [Author ID1: at Thu Oct 5 04:54:00 2000 ]tworzone są zwykle pomiędzy oddziałami terenowymi a centralą firmy.

Tunelowanie (tunneling)[Author ID1: at Thu Oct 5 04:55:00 2000 ] można wykonywać w oparciu o protokół tunelowania warstwy 2.[Author ID1: at Thu Oct 5 04:55:00 2000 ] (warstwa łącza danych) (Layer 2 (data-link layer) tun[Author ID1: at Thu Oct 5 04:55:00 2000 ]neling protocol) [Author ID1: at Thu Oct 5 04:55:00 2000 ]lub protokół tunelowania warstwy 3.[Author ID1: at Thu Oct 5 04:56:00 2000 ] (warstwa sieciowa) (Layer 3 (network layer) tunneling protocol) [Author ID1: at Thu Oct 5 04:55:00 2000 ]albo obu razem. W przypadku protokołów warstwy 3.[Author ID1: at Thu Oct 5 04:56:00 2000 ] przyjęto, że konfigurowanie obsługiwane jest gdzie indziej, a zabezpieczenia na poziomie sieci (network-level security), które zapewniają te protokoły, są niewidoczne dla użytkownika. Zwykle [Author ID1: at Thu Oct 5 04:56:00 2000 ]Zazwyczaj [Author ID1: at Thu Oct 5 04:56:00 2000 ]w tych protokołach nie ma etapu utrzymywania kanału (tunnel maintenance phase). Wyjątkiem jest protokół ISAKMP (Internet Protocol Security [Author ID1: at Thu Oct 5 04:56:00 2000 ]-[Author ID1: at Thu Oct 5 04:56:00 2000 ]— [Author ID1: at Thu Oct 5 04:56:00 2000 ]Internet Security Association and Key Management Protocol [Author ID1: at Thu Oct 5 04:56:00 2000 ]-[Author ID1: at Thu Oct 5 04:56:00 2000 ]— [Author ID1: at Thu Oct 5 04:56:00 2000 ]IPSec ISAKMP), który umożliwia obustronne uwierzytelnianie punktów końcowych (endpoints) tunelu. W przypadku protokołów warstwy 2 (Layer 2 protocols) [Author ID1: at Thu Oct 5 04:57:00 2000 ]tunel musi zostać utworzony, podtrzymywany,[Author ID1: at Thu Oct 5 04:57:00 2000 ] a następnie zamknięty. W systemie Windows 2000 obsługiwane są następujące protokoły:

• Point-To-Point Tunneling Protocol (PPTP) — U[Author ID1: at Thu Oct 5 04:57:00 2000 ]u[Author ID1: at Thu Oct 5 04:57:00 2000 ]możliwia szyfrowanie danych, dołączanie nagłówka IP i przesyłanie za pomocą protokołu IP (Internet Protocol), IPX (Internetwork Packet Exchange) lub NetBEUI (Network Basic Input/Output System Enhanced User Interface) przez sieć IP, na przykład [Author ID1: at Thu Oct 5 04:57:00 2000 ]p. [Author ID1: at Thu Oct 5 04:57:00 2000 ]Internet. Protokół PPTP jest protokołem warstwy 2 (l[Author ID1: at Thu Oct 5 04:57:00 2000 ]L[Author ID1: at Thu Oct 5 04:57:00 2000 ]ayer 2),[Author ID1: at Thu Oct 5 04:57:00 2000 ].[Author ID1: at Thu Oct 5 04:57:00 2000 ]

• Layer 2 Tunneling Protocol (L2TP) — u[Author ID1: at Thu Oct 5 04:57:00 2000 ]U[Author ID1: at Thu Oct 5 04:57:00 2000 ]możliwia szyfrowanie danych przesyłanych za pomocą protokołu IP, IPX czy NetBEUI i transmitowanie ich poprzez dowolną sieć zgodną ze standardami IP, X.25, Frame Relay lub Asynchronous Transfer Mode (ATM). Protokół L2TP jest protokołem warstwy 2 (Layer 2).[Author ID1: at Thu Oct 5 04:57:00 2000 ],[Author ID1: at Thu Oct 5 04:57:00 2000 ]

• IPSec Tunnel Mode — u[Author ID1: at Thu Oct 5 04:58:00 2000 ]U[Author ID1: at Thu Oct 5 04:58:00 2000 ]możliwia szyfrowanie danych użytecznych (payloads) protokołu IP, dołączanie nagłówka IP (IP header) i przesyłanie ich poprzez sieć IP, na przykład [Author ID1: at Thu Oct 5 04:58:00 2000 ]p. [Author ID1: at Thu Oct 5 04:58:00 2000 ]przez Internet. IPSec jest protokołem warstwy 3 (Layer 3)[Author ID1: at Thu Oct 5 04:58:00 2000 ].

Wskazówka: Aby zapewnić ochronę na poziomie sieci i utrzymywanie tunelu (tunnel maintenance), zazwyczaj[Author ID1: at Thu Oct 5 04:58:00 2000 ] zwykle[Author ID1: at Thu Oct 5 04:58:00 2000 ] korzysta się z kombinacji protokołów warstwy 3.[Author ID1: at Thu Oct 5 04:58:00 2000 ] i warstwy 2. Domyślnie system Windows 2000 oprócz protokołu IPSec korzysta z protokołu L2TP (L2TP over IPSec). Pozwala to na przezwyciężenie słabości związanych ze stosowaniem tylko protokołu IPSec, który korzysta wyłącznie z certyfikatów komputerów i każdy użytkownik, mający dostęp do komputera, który jest punktem końcowym tunelu (tunnel endpoint),[Author ID1: at Thu Oct 5 04:58:00 2000 ] ma również dostęp do tunelu.

Protokoły PPTP i L2TP oparte są na protokole Point-To Point Protocol (PPP) i mają następujące cechy:

• u[Author ID1: at Thu Oct 5 04:59:00 2000 ]U[Author ID1: at Thu Oct 5 04:59:00 2000 ]wierzytelnianie użytkownika — w[Author ID1: at Thu Oct 5 04:59:00 2000 ]W[Author ID1: at Thu Oct 5 04:59:00 2000 ] protokołach PPTP i L2TP zastosowano taki sam sposób uwierzytelniania,[Author ID1: at Thu Oct 5 04:59:00 2000 ] jak w protokole PPP, łącznie z protokołem EAP (Extensible Authentication Protocol [Author ID1: at Thu Oct 5 04:59:00 2000 ]-[Author ID1: at Thu Oct 5 04:59:00 2000 ]— [Author ID1: at Thu Oct 5 04:59:00 2000 ]EAP),[Author ID1: at Thu Oct 5 04:59:00 2000 ] opisanym z dalszej części niniejszego rozdziału. Protokoły te zawierają wiele metod uwierzytelniania,[Author ID1: at Thu Oct 5 04:59:00 2000 ] takich jak: hasła jednorazowe (one-time passwords), kalkulator kryptograficzny (cryptographic calculator) i karty elektroniczne (smart cards),[Author ID1: at Thu Oct 5 04:59:00 2000 ].[Author ID1: at Thu Oct 5 04:59:00 2000 ]

Uwaga: Protokoły tunelowania warstwy 3.[Author ID1: at Thu Oct 5 04:59:00 2000 ] (layer 3 tunneling protocols) umożliwiają również uwierzytelnianie użytkownika. Na przykład[Author ID1: at Thu Oct 5 04:59:00 2000 ]p.[Author ID1: at Thu Oct 5 04:59:00 2000 ] IPSec definiuje uwierzytelnianie za pomocą certyfikatu z kluczem publicznym na etapie negocjacji protokołu ISAKMP/Oakley.

Rozwiązania pokrewne [Author ID1: at Thu Oct 5 05:00:00 2000 ]: [Author ID1: at Thu Oct 5 05:00:00 2000 ]zobacz na stronie:

Analizowanie operacji IPSec

• d[Author ID1: at Thu Oct 5 05:00:00 2000 ]D[Author ID1: at Thu Oct 5 05:00:00 2000 ]ynamiczne przyporządkowywanie adresów (dynamic address assignment) — p[Author ID1: at Thu Oct 5 05:00:00 2000 ]P[Author ID1: at Thu Oct 5 05:00:00 2000 ]rotokoły PPTP i L2TP umożliwiają dynamiczne przydzielanie adresów klientów na podstawie mechanizmu negocjowania Network Control Protocol (NCP),[Author ID1: at Thu Oct 5 05:00:00 2000 ].[Author ID1: at Thu Oct 5 05:00:00 2000 ]

• K[Author ID1: at Thu Oct 5 05:00:00 2000 ]k[Author ID1: at Thu Oct 5 05:00:00 2000 ]ompresowanie danych — w[Author ID1: at Thu Oct 5 05:00:00 2000 ]W[Author ID1: at Thu Oct 5 05:00:00 2000 ] implementacji protokołów PPTP i L2TP, dokonanych przez firmę Microsoft, zastosowano Microsoft Point-To-Point Compression (MPPC),[Author ID1: at Thu Oct 5 05:00:00 2000 ].[Author ID1: at Thu Oct 5 05:00:00 2000 ]

• s[Author ID1: at Thu Oct 5 05:00:00 2000 ]S[Author ID1: at Thu Oct 5 05:00:00 2000 ]zyfrowanie danych — w[Author ID1: at Thu Oct 5 05:00:00 2000 ]W[Author ID1: at Thu Oct 5 05:00:00 2000 ] implementacji protokołu PPTP, dokonanej przez firmę Microsoft ([Author ID1: at Thu Oct 5 05:01:00 2000 ]Microsoft Point-To-Point Encryption[Author ID1: at Thu Oct 5 05:01:00 2000 ] — MPPE)[Author ID1: at Thu Oct 5 05:01:00 2000 ],[Author ID1: at Thu Oct 5 05:01:00 2000 ] jest możliwość zastosowania (Microsoft Point-To-Point Encryption[Author ID1: at Thu Oct 5 05:01:00 2000 ]-[Author ID1: at Thu Oct 5 05:00:00 2000 ]MPPE)[Author ID1: at Thu Oct 5 05:01:00 2000 ], opartego na algo[Author ID1: at Thu Oct 5 05:01:00 2000 ]p[Author ID1: at Thu Oct 5 05:01:00 2000 ]rytmie,[Author ID1: at Thu Oct 5 05:01:00 2000 ] szyfrowania RSA/RC4. W implementacji protokołu L2TP, dokonanej przez Microsoft, do ochrony strumienia danych zastosowano szyfrowanie IPSec (IPSec encryption),[Author ID1: at Thu Oct 5 05:01:00 2000 ].[Author ID1: at Thu Oct 5 05:01:00 2000 ]

• Z[Author ID1: at Thu Oct 5 05:01:00 2000 ]z[Author ID1: at Thu Oct 5 05:01:00 2000 ]arządzanie kluczami — MPPE korzysta z klucza [Author ID1: at Thu Oct 5 05:02:00 2000 ]klucza wstępnego (initial key), wygenerowanego podczas uwierzytelniania użytkownika,[Author ID1: at Thu Oct 5 05:02:00 2000 ] i odświeża go okresowo. IPSec jawnie (explicitly) negocjuje klucz wspólny w trakcie wymiany komunikatów protokołu ISAKMP i również odświeża go okresowo,[Author ID1: at Thu Oct 5 05:02:00 2000 ].[Author ID1: at Thu Oct 5 05:02:00 2000 ]

• o[Author ID1: at Thu Oct 5 05:02:00 2000 ]O[Author ID1: at Thu Oct 5 05:02:00 2000 ]bsługa wielu protokołów — P[Author ID1: at Thu Oct 5 05:02:00 2000 ]p[Author ID1: at Thu Oct 5 05:02:00 2000 ]rotokoły [Author ID1: at Thu Oct 5 05:02:00 2000 ]PPTP i L2TP mogą obsługiwać wiele protokołów, chociaż w przypadku protokołu [Author ID1: at Thu Oct 5 05:02:00 2000 ]PPTP konieczny jest protokół TCP/IP. IPSec Tunnel Mode obsługuje tylko sieci docelowe (target networks), w których można stosować protkół IP.

Uwaga: IPSec jest nadal w fazie rozwoju i może zawierać wiele funkcji obecnie wprowadzonych w protokołach PPTP i L2TP. Szczegółowe informacje na temat nowości wprowadzonych w IPSec można znaleźć pod adresem -->[Author ID1: at Thu Oct 5 05:03:00 2000 ]-->[Author ID1: at Thu Oct 5 05:03:00 2000 ]-->[Author ID1: at Thu Oct 5 05:03:00 2000 ]-->[Author ID1: at Thu Oct 5 05:03:00 2000 ]-->www.itef.org/html.charters/ipsed-charter.html[Author ID1: at Thu Oct 5 05:03:00 2000 ]-->[Author ID1: at Thu Oct 5 05:03:00 2000 ]-->.[Author ID1: at Thu Oct 5 05:03:00 2000 ]

Uwierzytelnianie

W protokołach warstwy 2.[Author ID1: at Thu Oct 5 05:03:00 2000 ] (L[Author ID1: at Thu Oct 5 05:58:00 2000 ]l[Author ID1: at Thu Oct 5 05:58:00 2000 ]ayer 2 protocols) zastoswano takie same metody uwierzytelniania,[Author ID1: at Thu Oct 5 05:03:00 2000 ] jak w przypadku protokołu PPP, tzn.[Author ID1: at Thu Oct 5 05:03:00 2000 ]:[Author ID1: at Thu Oct 5 05:03:00 2000 ] Password Autentication Protocol (PAP), Challenge Handshake Authentication Protcol (CHAP) oraz Microsoft Challenge Handshake Authentication Protocol (MS-CHAP). W wersji protokołów PPTP i L2TP, opracowanej przez Microsoft, zastosowano również protokół EAP, a zwłaszcza EAP Transaction Level Security (EAP-TLS). W systemie Windows 2000 dostępne są następujące metody uwierzytelniania warstwy połączenia danych (data-link layer):

• PAP — m[Author ID1: at Thu Oct 5 05:03:00 2000 ]M[Author ID1: at Thu Oct 5 05:03:00 2000 ]etoda uwierzytelniania tekstu jawnego (clear-text authentication),[Author ID1: at Thu Oct 5 05:04:00 2000 ] która w wyniku daje nazwę użytkownika i hasło w postaci tekstu jawnego (niezaszyfrowanego[Author ID1: at Thu Oct 5 05:04:00 2000 ]). Nie jest to metoda bezpieczna i nie daje ochrony przed atakami metodą powtórzenia (replay attacks) ani przed atakami przez podszywanie się pod klienta zdalnego (remote client impersonation) po złamaniu hasła użytkownika,[Author ID1: at Thu Oct 5 05:04:00 2000 ].[Author ID1: at Thu Oct 5 05:04:00 2000 ]

• CHAP — m[Author ID1: at Thu Oct 5 05:04:00 2000 ]M[Author ID1: at Thu Oct 5 05:04:00 2000 ]echanizm uwierzytelniania z szyfrowaniem (encrypted authentication mechanism), za pomocą którego można uniknąć przesyłania rzeczywistego hasła poprzez połączenie. Serwer NAS (Network Access Server) wysyła do klienta zdalnego wyzwanie (challenge),[Author ID1: at Thu Oct 5 05:04:00 2000 ] składające się z identyfikatora sesji (session ID) [Author ID1: at Thu Oct 5 05:07:00 2000 ]i dowolny ciąg znaków. Klient zdalny (remote klient) [Author ID1: at Thu Oct 5 05:04:00 2000 ]zwraca nazwę użytkownika, zaszyfrowane wyzwanie (encryption of the challenge), identyfikator sesji (session ID) [Author ID1: at Thu Oct 5 05:04:00 2000 ]i hasło klienta, korzystając z funkcji skrótu MD 5 (Message Digest 95 hash function). CHAP chroni przed atakami metoda powtórzenia,[Author ID1: at Thu Oct 5 05:05:00 2000 ] (replay attacks) [Author ID1: at Thu Oct 5 05:05:00 2000 ]używając dowolnego ciągu znaków dla każdej próby uwierzytelniania. Chroni również przed podszywaniem się pod klienta zdalnego,[Author ID1: at Thu Oct 5 05:05:00 2000 ] (remote client impresonation) [Author ID1: at Thu Oct 5 05:05:00 2000 ]wysyłając w czasie trwania połączenia [Author ID1: at Thu Oct 5 05:05:00 2000 ]powtarzające się wyzwania (challenges) do klienta zdalnego (remote client) w czasie trwania połączenia i [Author ID1: at Thu Oct 5 05:05:00 2000 ]w sposób niemożliwy do przewidzenia,[Author ID1: at Thu Oct 5 05:05:00 2000 ]. [Author ID1: at Thu Oct 5 05:05:00 2000 ]

• MS-CHAP — M[Author ID1: at Thu Oct 5 05:06:00 2000 ]m[Author ID1: at Thu Oct 5 05:06:00 2000 ]echanizm uwierzytelniania z szyfrowaniem (encrypted authentication mechanism) bardzo podobny do PAP, zapewniający dodatkowe zabezpieczenia poprz[Author ID1: at Thu Oct 5 05:07:00 2000 ]ez umożliwienie serwerowi przechowywanie haseł przetworzonych za pomocą[Author ID1: at Thu Oct 5 05:06:00 2000 ]a[Author ID1: at Thu Oct 5 05:06:00 2000 ] funkcji skrótu (hashed password),[Author ID1: at Thu Oct 5 05:07:00 2000 ] zamiast haseł w postaci tekstu jawnego (clear-text passwords). Uwierzytelnianie za pomocą protokołu uwierzytelniania z szyfrowaniem MS-CHAP jest konieczne aby możliwe było [Author ID1: at Thu Oct 5 05:07:00 2000 ]dla [Author ID1: at Thu Oct 5 05:07:00 2000 ]szyfrowania[Author ID1: at Thu Oct 5 05:07:00 2000 ]e[Author ID1: at Thu Oct 5 05:07:00 2000 ] danych za pomocą[Author ID1: at Thu Oct 5 05:06:00 2000 ]a[Author ID1: at Thu Oct 5 05:06:00 2000 ] algorytmu MPPE,[Author ID1: at Thu Oct 5 05:07:00 2000 ].[Author ID1: at Thu Oct 5 05:07:00 2000 ]

• MS-CHAP v2 — p[Author ID1: at Thu Oct 5 05:08:00 2000 ]P[Author ID1: at Thu Oct 5 05:08:00 2000 ]odobna do MS-CHAP, działająca tylko na komputerach pracujących pod kontrolą systemu Windows 2000,[Author ID1: at Thu Oct 5 05:08:00 2000 ].[Author ID1: at Thu Oct 5 05:08:00 2000 ]

• SPAP (Shiva PAP)[Author ID1: at Thu Oct 5 05:08:00 2000 ] — m[Author ID1: at Thu Oct 5 05:08:00 2000 ] (Shiva PAP). M[Author ID1: at Thu Oct 5 05:08:00 2000 ]etoda stosowana w mieszanych środowiskach sieciowych do obsługi klientów korzystających z oprogramowania Shiva LAN Rover,[Author ID1: at Thu Oct 5 05:08:00 2000 ].[Author ID1: at Thu Oct 5 05:08:00 2000 ]

• EAP-TLS — M[Author ID1: at Thu Oct 5 05:08:00 2000 ]m[Author ID1: at Thu Oct 5 05:08:00 2000 ]etoda silnego uwierzytelniania (strong authentication method) oparta na certyfikatach z kluczem publicznym (public key certificates). Klient przedstawia serwerowi dostępu telefonicznego (dial-in server)[Author ID1: at Thu Oct 5 05:09:00 2000 ] [Author ID1: at Thu Oct 5 05:09:00 2000 ]certyfikat użytkownika dostępu telefonicznego (dial-in server), [Author ID1: at Thu Oct 5 05:09:00 2000 ]a serwer przedstawia klientowi certyfikat serwera. Pierwszy certyfikat umoż[Author ID1: at Thu Oct 5 05:09:00 2000 ]z[Author ID1: at Thu Oct 5 05:09:00 2000 ]liwia serwerowi uwierzytelnienie klienta, drugi — [Author ID1: at Thu Oct 5 05:09:00 2000 ]pozwala upewnić się, czy użytkownik uzyskał dostęp do właściwego serwera. Certyfikat użytkownika może być [Author ID1: at Thu Oct 5 05:09:00 2000 ]zapisany na komputerze klienta połączenia telefonicznego (dial-up client computer) lub na karcie elktronicznej (smart card).

Uwaga: Można również zezwolić użytkownikom zdalnym na łączenie się bez uwierzytelniania.

Na poziomie warstwy transportowej (transport layer),[Author ID1: at Thu Oct 5 05:10:00 2000 ] IPSec definiuje szyfrowanie danych i integralność danych (data integrity), korzystając z nagłówka uwierzytelniania (a[Author ID1: at Thu Oct 5 05:10:00 2000 ]A[Author ID1: at Thu Oct 5 05:10:00 2000 ]uthentication h[Author ID1: at Thu Oct 5 05:10:00 2000 ]H[Author ID1: at Thu Oct 5 05:10:00 2000 ]eader [Author ID1: at Thu Oct 5 05:10:00 2000 ]-[Author ID1: at Thu Oct 5 05:10:00 2000 ]— [Author ID1: at Thu Oct 5 05:10:00 2000 ]AH),[Author ID1: at Thu Oct 5 05:10:00 2000 ] aby zapewnić uwierzytelnienie i integralność źródła (source authentication and integrity) bez szyfrowania,[Author ID1: at Thu Oct 5 05:10:00 2000 ] oraz ukrytych danych uwierzytelniających (e[Author ID1: at Thu Oct 5 05:58:00 2000 ]E[Author ID1: at Thu Oct 5 05:58:00 2000 ]ncapsulated s[Author ID1: at Thu Oct 5 05:58:00 2000 ]S[Author ID1: at Thu Oct 5 05:58:00 2000 ]ecurity p[Author ID1: at Thu Oct 5 05:58:00 2000 ]P[Author ID1: at Thu Oct 5 05:58:00 2000 ]ayload [Author ID1: at Thu Oct 5 05:58:00 2000 ]-[Author ID1: at Thu Oct 5 05:58:00 2000 ]— [Author ID1: at Thu Oct 5 05:58:00 2000 ]ESP), aby zapewnić uwierzytelnianie i integralność (integrity) [Author ID1: at Thu Oct 5 05:10:00 2000 ]razem z szyfrowaniem.

IPSec można wyobrazić sobie jako warstwę (layer) poniżej stosu TCP/IP (TCP/IP stack). Warstwa ta (layer) [Author ID1: at Thu Oct 5 05:10:00 2000 ]jest kontrolowana przez zasady zabezpieczeń (security policy) każdego komputera i negocjuje[Author ID1: at Thu Oct 5 05:11:00 2000 ]ą[Author ID1: at Thu Oct 5 05:11:00 2000 ] skojarzenia zabezpieczeń (security association) pomiędzy nadawcą a odbiorcą. Zasady (policy) [Author ID1: at Thu Oct 5 05:11:00 2000 ]składają się z zestawu filtrów i związanego z tym zachowania. Jeśli adres IP pakietu, protokół i numer portu są zgodne z danym filtrem,[Author ID1: at Thu Oct 5 05:11:00 2000 ] to wiąże [Author ID1: at Thu Oct 5 05:11:00 2000 ]łączy [Author ID1: at Thu Oct 5 05:11:00 2000 ]się z tym określone działanie związane z zabezpieczeniami. IPSec omówiono w rozdziale 10.[Author ID1: at Thu Oct 5 05:11:00 2000 ]

Rozwiązania pokrewne [Author ID1: at Thu Oct 5 05:11:00 2000 ]: [Author ID1: at Thu Oct 5 05:12:00 2000 ]zobacz na stronie:

Określanie ustawień IPSec

Porównanie protokołów PPTP i L2TP

Protokół PPTP do utrzymywania kanału korzysta z połączeń TCP,[Author ID1: at Thu Oct 5 05:12:00 2000 ] a do przesyłania danych przez tunel stosuje ukryte [Author ID1: at Thu Oct 5 05:12:00 2000 ]ramki (frames) [Author ID1: at Thu Oct 5 05:12:00 2000 ]PPP ukryte [Author ID1: at Thu Oct 5 05:12:00 2000 ](encapsulated PPP frames[Author ID1: at Thu Oct 5 05:12:00 2000 ]) za pomocą protkołu GRE (Generic Routing Encapsulation). Dane użyteczne (payloads) zawarte w ukrytych ramkach PPP (encapsulated PPP frames) [Author ID1: at Thu Oct 5 05:13:00 2000 ]mogą być szyfrowane lub (i) skompresowane.

Protokół L2TP ukrywa (encapsulates) ramki PPP (PPP frames) [Author ID1: at Thu Oct 5 05:13:00 2000 ]przesyłane przez sieci IP, X.25, Frame Relay lub ATM. Może być stosowany jako protokół tunelowania (tunneling protocol) w Internecie i może być [Author ID1: at Thu Oct 5 05:13:00 2000 ]lub [Author ID1: at Thu Oct 5 05:13:00 2000 ]używany bezpośrednio w sieciach, w których nie ma warstwy transportowej IP (IP transport layer), takich jak Frame Relay. Protokół L2TP do utrzymywania tunelu i do przesyłania przez tunel ramek PPP (PPP frames), [Author ID1: at Thu Oct 5 05:13:00 2000 ]ukrytych za pomocą tego protokołu, korzysta z protokołu UDP (User Datagram Protocol). Dane użyteczne (payloads) [Author ID1: at Thu Oct 5 05:13:00 2000 ]zawarte w ukrytych ramkach PPP (encapsulated PPP frames) [Author ID1: at Thu Oct 5 05:13:00 2000 ]mogą być szyfrowane lub (i) skompresowane.

Obydwa protokoły korzystają z protokołu PPP,[Author ID1: at Thu Oct 5 05:14:00 2000 ] aby zapewnić kopertę wstępną (initial envelope) dla danych, a potem dołączyć dodatkowe nagłówki (headers) w celu przesłania danych poprzez intersieć (internetwork). Protokoły te są podobne, ale występują między nimi pewne różnice:

• P[Author ID1: at Thu Oct 5 05:14:00 2000 ]p[Author ID1: at Thu Oct 5 05:14:00 2000 ]rotokół PPTP wymaga sieci IP, podczas gdy w przypadku L2TP konieczne jest tylko,[Author ID1: at Thu Oct 5 05:14:00 2000 ] aby ośrodek, w którym tworzony jest tunel,[Author ID1: at Thu Oct 5 05:14:00 2000 ] zapewniał funkcje pakietowego połączenia dwupuntowego (packet-oriented point-to-point connectivity),[Author ID1: at Thu Oct 5 05:14:00 2000 ].[Author ID1: at Thu Oct 5 05:14:00 2000 ]

• p[Author ID1: at Thu Oct 5 05:14:00 2000 ]P[Author ID1: at Thu Oct 5 05:14:00 2000 ]rotokół PPTP może obsługiwać tylko pojedynczy tunel pomiędzy punktami końcowymi (E[Author ID1: at Thu Oct 5 05:14:00 2000 ]e[Author ID1: at Thu Oct 5 05:14:00 2000 ]ndpoints). Protokół L2TP pozwala na tworzenie wielu tuneli,[Author ID1: at Thu Oct 5 05:14:00 2000 ].[Author ID1: at Thu Oct 5 05:14:00 2000 ]

• J[Author ID1: at Thu Oct 5 05:17:00 2000 ]j[Author ID1: at Thu Oct 5 05:17:00 2000 ]eśli włączona jest kompresja nagłówka (header compression), to w przypadku protokołu L2TP występują 4 bajty pomocnicze,[Author ID1: at Thu Oct 5 05:17:00 2000 ] a w przypadku [Author ID1: at Thu Oct 5 05:17:00 2000 ]protokołu[Author ID1: at Thu Oct 5 05:17:00 2000 ]le[Author ID1: at Thu Oct 5 05:17:00 2000 ] PPTP [Author ID1: at Thu Oct 5 05:17:00 2000 ]-[Author ID1: at Thu Oct 5 05:17:00 2000 ]— [Author ID1: at Thu Oct 5 05:17:00 2000 ]6 bajtów pomocniczych,[Author ID1: at Thu Oct 5 05:17:00 2000 ].[Author ID1: at Thu Oct 5 05:17:00 2000 ]

• p[Author ID1: at Thu Oct 5 05:17:00 2000 ]P[Author ID1: at Thu Oct 5 05:17:00 2000 ]rotokół L2TP umożliwia uwierzytelnianie tunelu (tunnel authentication), w przypadku protokołu PPTP nie ma takiej możliwości. Jednak jeśli którykolwiek z protokołów jest stosowany obok IPSec, to wtedy [Author ID1: at Thu Oct 5 05:18:00 2000 ]wówczas [Author ID1: at Thu Oct 5 05:18:00 2000 ]uwierzytelnianie tunelu (tunnel authentication) [Author ID1: at Thu Oct 5 05:18:00 2000 ]zapewnia IPSec.

Uwaga: Protokół PPTP jest opisany w propozycji dokumentu RFC „Point-To-Point Tunneling Protocol” (pptp-draft-ietf-ppext-pptp-02.txt). Protokół L2TP opisano w propozycji dokumentu RFC „Layer 2 Tunneling Protocol L2TP” (draft-ietf-pppext-l2tp-09.txt).

Protokół RADIUS (Remote Authentication Dial-in User Service)

Protokół RADIUS (Remote Authentication Dial-in User Service)jest[Author ID1: at Thu Oct 5 05:18:00 2000 ],[Author ID1: at Thu Oct 5 05:18:00 2000 ] oparty na protokole UDP,[Author ID0: at Thu Nov 30 00:00:00 1899 ] i [Author ID1: at Thu Oct 5 05:18:00 2000 ]może być stosowany do zarządzania uwierzytelnianiem i autoryzacją użytkowników zdalnych (remote users). Usługi pośredniczące (proxy services) serwerów protokołu RADIUS mogą przekazywać żądania uwiery[Author ID1: at Thu Oct 5 05:19:00 2000 ]zy[Author ID1: at Thu Oct 5 05:19:00 2000 ]telniania (authentication requests) do serwerów RADIUS, znajdujących się w loaklizacjach odległych. Wielu usługodawców internetowych (ISPs) utworzyło konsorcja, które umożliwiają abonentom mobilnym (roaming subscribers) połączenie się telefoniczne do internetu, korzystając z usług lokalnych (local services) najbliższego usługodawcy internetowego (ISP). Jeśli usługodawca internetowy (ISP) [Author ID1: at Thu Oct 5 05:19:00 2000 ]rozpozna nazwę użytkownika, który jest abonentem sieci odległej (remote network), to wtedy do przekazania żądania dostępu do właściwej sieci korzysta z usługi pośredniczącej protokołu RADIUS (RADIUS proxy).

Protokół RADIUS umożliwia również rozliczanie połączeń. Serwer RADIUS tworzy zapis rozliczeniowy (accounting record) na początku i na zakończenie połączenia oraz w określonych wcześniej przedziałach czasu w trakcie połączenia. Rozliczeniowy serwer RADIUS (accounting RADIUS server) może być skonfigurowany niezależnie od tego czy protokół RADIUS jest używany do uwierzytelniania, a następnie może gromadzić zapisy dotyczące wszystkich połączeń za pomocą Wirtualnych Sieci Prywatnych (VPN connection), aby później można było je przanalizować.

Rozwiązania natychmiastowe

Określanie startegii Wirtualnych Sieci Prywatnych (VPNs[Author ID1: at Thu Oct 5 05:20:00 2000 ])

Zanim nastąpi etap wdrażania, tzn. instalowania i konfigurowania punktów końcowych Wirtualnych Sieci Prywatnych (VPN endpoints), konieczne jest zapoznanie się ze strategią wprowadzania wirtualnych sieci prywatnych (VPN) [Author ID1: at Thu Oct 5 05:20:00 2000 ]w danej firmie. Niewielu specjalistów ma luksus tworzenia nowej sieci od podstaw. Wdrażanie wirtualnych sieci prywatnych (VPN) [Author ID1: at Thu Oct 5 05:20:00 2000 ]będzie uzależnione od istniejącej struktury sieci, wymagań dotyczących dostępu zdalnego, stopnia bezpieczeństwa,[Author ID1: at Thu Oct 5 05:20:00 2000 ] uznanego za odpowiedni oraz planów rozwoju sieci w przyszłości. Każda sieć ma swoje specyficzne cechy i nie ma reguł, które można stosować powszechnie. Konieczne będzie podejmowanie decyzji,[Author ID1: at Thu Oct 5 05:25:00 2000 ] biorąc pod uwagę usługę RAS (Remote Access Service) oraz Wirtualne Sieci Prywatne (VPNs[Author ID1: at Thu Oct 5 05:25:00 2000 ]).

Procedura określania startegii Wirtualnych Sieci Prywatnych (VPNs[Author ID1: at Thu Oct 5 05:25:00 2000 ]) jest następująca:

1. Określ topologię sieci na podstawie struktury organizacyjnej firmy. Typowe sytuacje przedstawiono na rysunkach 11.1.[Author ID1: at Thu Oct 5 08:21:00 2000 ] do 11.4.

Rysunek 11.1.[Author ID1: at Thu Oct 5 05:27:00 2000 ] Dostęp zdalny dla klientów mobilnych (roaming clients).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Rysunek 11.2.[Author ID1: at Thu Oct 5 05:27:00 2000 ] Dostęp zdalny dla pracowników pracujących w domu (home workers).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

[Author ID1: at Thu Oct 5 05:27:00 2000 ]

Rysunek 11.3.[Author ID1: at Thu Oct 5 05:28:00 2000 ] Dostęp zdalny dla oddziałów firmy.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

[Author ID1: at Thu Oct 5 05:28:00 2000 ]

Rysunek 11.4.[Author ID1: at Thu Oct 5 05:29:00 2000 ] Komunikacja dwukierunkowa pomiędzy głównymi lokacjami (sites).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

2. Określ sposób połączenia z Internetem. Pojawia się tu kilka kwestii:

• U[Author ID1: at Thu Oct 5 05:29:00 2000 ]u[Author ID1: at Thu Oct 5 05:29:00 2000 ]sługodawca internetowy (ISP) — Z[Author ID1: at Thu Oct 5 05:29:00 2000 ]z[Author ID1: at Thu Oct 5 05:29:00 2000 ] usług usługodawcy internetowego (ISP) [Author ID1: at Thu Oct 5 05:29:00 2000 ]korzysta się,[Author ID1: at Thu Oct 5 05:29:00 2000 ] jeśli występują zdalni użytkownicy mobilni (remote roaming users), a zwłaszcza jeśli można znaleźć konsorcjum usługodawców internetowych (ISP consortium),[Author ID1: at Thu Oct 5 05:29:00 2000 ] świadczące[Author ID1: at Thu Oct 5 05:29:00 2000 ]ych[Author ID1: at Thu Oct 5 05:29:00 2000 ] usługi na całym świecie bez dodatkowych wymagań dotyczących konfiguracji. Telepracownicy (home workers) także [Author ID1: at Thu Oct 5 05:30:00 2000 ]będą także [Author ID1: at Thu Oct 5 05:30:00 2000 ]łączyć się za pomocą usługodawcy internetowego (ISP)[Author ID1: at Thu Oct 5 05:30:00 2000 ]. W przypadku oddziału firmy (branch office) łączącego się z dyrekcja główna (corporate headquarters) można wziąć pod uwagę zainstalowanie serwera IIS,[Author ID1: at Thu Oct 5 05:30:00 2000 ].[Author ID1: at Thu Oct 5 05:30:00 2000 ]

• r[Author ID1: at Thu Oct 5 05:30:00 2000 ]R[Author ID1: at Thu Oct 5 05:30:00 2000 ]outer wywołujący (calling router) — C[Author ID1: at Thu Oct 5 05:30:00 2000 ]c[Author ID1: at Thu Oct 5 05:30:00 2000 ]zy każdy z komputerów w odziale firmy (branch office) [Author ID1: at Thu Oct 5 05:30:00 2000 ]będzie klientem Wirtualnej Sieci Prywatnej (VPN client) czy też powinno zostać zainstalowane połączenie router-router (router-to-router connection)? Drugi przypadek jest zwykle [Author ID1: at Thu Oct 5 05:31:00 2000 ]zazwyczaj [Author ID1: at Thu Oct 5 05:31:00 2000 ]stosowany we wszystkich oddziałach,[Author ID1: at Thu Oct 5 05:31:00 2000 ] (branch offices) [Author ID1: at Thu Oct 5 05:31:00 2000 ]oprócz tych najmniejszych.

3. Określ połączenia klientów korzystających z dostępu zdalnego. Należy wziąć pod uwagę nastę[Author ID1: at Thu Oct 5 06:54:00 2000 ]e[Author ID1: at Thu Oct 5 06:54:00 2000 ]pujące czynniki:

• p[Author ID1: at Thu Oct 5 05:31:00 2000 ]P[Author ID1: at Thu Oct 5 05:31:00 2000 ]ołączenia portów (port connections) — j[Author ID1: at Thu Oct 5 05:31:00 2000 ]J[Author ID1: at Thu Oct 5 05:31:00 2000 ]ak wiele portów PPTP lub L2TP musi być zainstalowanych aby przyjąć maksymalną liczbę połączeń klientów?

• K[Author ID1: at Thu Oct 5 05:32:00 2000 ]k[Author ID1: at Thu Oct 5 05:32:00 2000 ]onta użytkowników — K[Author ID1: at Thu Oct 5 05:32:00 2000 ]k[Author ID1: at Thu Oct 5 05:32:00 2000 ]to będzie miał zezwolenie na zdalne [Author ID1: at Thu Oct 5 05:32:00 2000 ]logowanie się zdalne [Author ID1: at Thu Oct 5 05:32:00 2000 ]do sieci? Czy wszyscy użytkownicy zdalni (remote users) będą mieli te same prawa i uprawnienia? Innymi słowy, czy skonfigurowana będzie jedna grupa użytkowników zdalnych,[Author ID1: at Thu Oct 5 05:32:00 2000 ] (remote users) [Author ID1: at Thu Oct 5 05:32:00 2000 ]czy też będzie kilka kategorii uż[Author ID1: at Thu Oct 5 06:57:00 2000 ]z[Author ID1: at Thu Oct 5 06:57:00 2000 ]ytkowników zdalnych (remote users)[Author ID1: at Thu Oct 5 05:32:00 2000 ]?

• o[Author ID1: at Thu Oct 5 05:32:00 2000 ]O[Author ID1: at Thu Oct 5 05:32:00 2000 ]graniczenia — j[Author ID1: at Thu Oct 5 05:32:00 2000 ]J[Author ID1: at Thu Oct 5 05:32:00 2000 ]akie specjalne ograniczenia będą ustanowione dla użytkowników zdalnych (remote users)? Dzięki Wirtualnym Sieciom Prywatnym (VPNs) dostęp zdalny stanowi mniejsze zagrożenie dla bezpieczeństwa sieci, ale nadal można chronić pewne części intranetu firmy. W systemach wymagających wysokiego poziomu zabezpieczeń można rozważyć umieszczenie wszystkich zasobów, które będą konieczne [Author ID1: at Thu Oct 5 05:33:00 2000 ]potrzebne [Author ID1: at Thu Oct 5 05:33:00 2000 ]użytkownikom zdalnym (remote users),[Author ID1: at Thu Oct 5 05:33:00 2000 ] na serwerze Wirtualnych Sieci Prywatnych (VPN server) i ograniczenie dostępu dla użytkowników zdalnych (remote users) [Author ID1: at Thu Oct 5 05:34:00 2000 ]tylko do tego komputera,[Author ID1: at Thu Oct 5 05:34:00 2000 ].[Author ID1: at Thu Oct 5 05:34:00 2000 ]

• u[Author ID1: at Thu Oct 5 05:34:00 2000 ]U[Author ID1: at Thu Oct 5 05:34:00 2000 ]wierzytelnianie klienta — N[Author ID1: at Thu Oct 5 05:34:00 2000 ]n[Author ID1: at Thu Oct 5 05:34:00 2000 ]ależy określić,[Author ID1: at Thu Oct 5 05:34:00 2000 ] w jaki sposób serwer wirtualnych sieci prywatnych (VPN servers)[Author ID1: at Thu Oct 5 05:34:00 2000 ] będą[Author ID1: at Thu Oct 5 05:34:00 2000 ]zie[Author ID1: at Thu Oct 5 05:34:00 2000 ] uwierzytelniać klienta. Można korzystać z usług katalogowych Active Directory lub protokołu RADIUS,[Author ID1: at Thu Oct 5 05:34:00 2000 ].[Author ID1: at Thu Oct 5 05:34:00 2000 ]

4. Określ połączenie pomiędzy routerami (router-to-router connection). Należy określić kilka opcji:

• t[Author ID1: at Thu Oct 5 05:35:00 2000 ]T[Author ID1: at Thu Oct 5 05:35:00 2000 ]echnologia połączenia — W[Author ID1: at Thu Oct 5 05:35:00 2000 ]w[Author ID1: at Thu Oct 5 05:35:00 2000 ] jaki sposób zostanie ustanowione połączenie stałe (persistent connection) z Internetem? Czy natężenie ruchu w sieci usprawiedliwia, np.[Author ID1: at Thu Oct 5 05:35:00 2000 ] na przykład[Author ID1: at Thu Oct 5 05:35:00 2000 ] koszt dzierżawienia całej linii T1 lub jej części?

• P[Author ID1: at Thu Oct 5 05:35:00 2000 ]p[Author ID1: at Thu Oct 5 05:35:00 2000 ]ołączenie na żądanie (demand dialing) — C[Author ID1: at Thu Oct 5 05:35:00 2000 ]c[Author ID1: at Thu Oct 5 05:35:00 2000 ]zy zainstalowane zostanie łączenie na żądanie,[Author ID1: at Thu Oct 5 05:35:00 2000 ] aby zautomatyzować inicjowanie połączenia pomiędzy odległymi oddziałami,[Author ID1: at Thu Oct 5 05:35:00 2000 ]. [Author ID1: at Thu Oct 5 05:35:00 2000 ]

• T[Author ID1: at Thu Oct 5 05:35:00 2000 ]t[Author ID1: at Thu Oct 5 05:35:00 2000 ]yp połączenia — C[Author ID1: at Thu Oct 5 05:35:00 2000 ]c[Author ID1: at Thu Oct 5 05:35:00 2000 ]zy należy ustanowić jedno- lub dwukierunkowe połączenia za pomocą Wirtualnych Sieci Prywatnych (VPN connections)? Czy dyrekcja główna (corporate headquarters) będzie kiedykolwiek inicjować połączenie?

• u[Author ID1: at Thu Oct 5 05:36:00 2000 ]U[Author ID1: at Thu Oct 5 05:36:00 2000 ]wierzytelnianie wzajemne — o[Author ID1: at Thu Oct 5 05:36:00 2000 ]O[Author ID1: at Thu Oct 5 05:36:00 2000 ]kreśl w jaki spsoób serwery, korzystające z usługi RRAS, będą wzajemnie się uwierzytelniać. Można stosować weryfiakcję za pomocą protokołu RADIUS lub usług katalogowych Active Directory. W drugim przypadku wszystkie serwery RRAS powinny znajdować się w grupie zabezpieczeń (security group).

[Author ID1: at Thu Oct 5 05:36:00 2000 ]

5. Określ metodę szyfrowania. Protokoły obsługują kilka metod szyfrowania. Obecnie IPSec zabezpiecza[Author ID1: at Thu Oct 5 05:36:00 2000 ]y[Author ID1: at Thu Oct 5 05:36:00 2000 ] dane przesyłane przez sieć,[Author ID1: at Thu Oct 5 05:36:00 2000 ] ale nie zapewnia w pełni funkcjonalnego rozwiązania Wirtualnych Sieci Prywatnych (VPNs[Author ID1: at Thu Oct 5 05:36:00 2000 ]). Wybór jest nastę[Author ID1: at Thu Oct 5 06:54:00 2000 ]e[Author ID1: at Thu Oct 5 06:54:00 2000 ]pujący:

• P[Author ID1: at Thu Oct 5 05:37:00 2000 ]p[Author ID1: at Thu Oct 5 05:37:00 2000 ]rotokół PPTP z zastosowaniem MPPE — w[Author ID1: at Thu Oct 5 05:37:00 2000 ]W[Author ID1: at Thu Oct 5 05:37:00 2000 ]ybierz tę[Author ID1: at Thu Oct 5 05:37:00 2000 ]ą[Author ID1: at Thu Oct 5 05:37:00 2000 ] opcję,[Author ID1: at Thu Oct 5 05:37:00 2000 ] jeśli pracujesz w środowisku mieszanym, jeśli nie istnieje infrastruktura certyfikatów komputerów (machine-based certificate infrastructure) lub jeśli wystarczające jest uwierzytelnianie użytkownika i nie jest konieczne uwierzytelnianie komputera,[Author ID1: at Thu Oct 5 05:37:00 2000 ].[Author ID1: at Thu Oct 5 05:37:00 2000 ]

• L2TP [Author ID1: at Thu Oct 5 06:00:00 2000 ]w [Author ID1: at Thu Oct 5 07:38:00 2000 ]IPSec[Author ID1: at Thu Oct 5 07:38:00 2000 ] [Author ID1: at Thu Oct 5 07:38:00 2000 ](L2TP over IPSec)[Author ID1: at Thu Oct 5 06:00:00 2000 ] over IPSec [Author ID1: at Thu Oct 5 06:00:00 2000 ]— w[Author ID1: at Thu Oct 5 05:37:00 2000 ]W[Author ID1: at Thu Oct 5 05:37:00 2000 ]ybierz tę[Author ID1: at Thu Oct 5 05:37:00 2000 ]ą[Author ID1: at Thu Oct 5 05:37:00 2000 ] opcję,[Author ID1: at Thu Oct 5 05:37:00 2000 ] jeśli wszystkie komputery, które są punktami końcowymi tuneli (tunnel endpoints) pracują pod kontrolą systemu Windows 2000.[Author ID1: at Thu Oct 5 05:37:00 2000 ],[Author ID1: at Thu Oct 5 05:37:00 2000 ] i[Author ID1: at Thu Oct 5 05:37:00 2000 ]I[Author ID1: at Thu Oct 5 05:37:00 2000 ]stnieje infrastruktura certyfikatów komputerów (machine-based certificate infrastructure)[Author ID1: at Thu Oct 5 05:37:00 2000 ], jak na [Author ID1: at Thu Oct 5 05:37:00 2000 ]przykład[Author ID1: at Thu Oct 5 05:38:00 2000 ].[Author ID1: at Thu Oct 5 05:38:00 2000 ] Kerberos 5,[Author ID1: at Thu Oct 5 05:38:00 2000 ] i potrzebne jest dodatkowe zabezpieczanie uwierzytelniania komputera. Jest to domyślne ustawienie systemu Windows 2000.

6. Określ długość klucza. Wybór szyfrowania z kluczem 128-bitowym daje wysoki poziom zabezpieczeń, ale nie jest dostę[Author ID1: at Thu Oct 5 06:56:00 2000 ]e[Author ID1: at Thu Oct 5 06:56:00 2000 ]pny poza Ameryką Północną.

7. Określ metodę uwierzytelniania. Metody uwierzytelniania opisano w części niniejszego rozdziału pod tytułem „W skrócie”. Oto krótkie przypomnienie:

• EAP — m[Author ID1: at Thu Oct 5 05:38:00 2000 ]M[Author ID1: at Thu Oct 5 05:38:00 2000 ]etody, w skład których wchodzą między innymi „[Author ID1: at Thu Oct 5 05:38:00 2000 ]Wyzwanie MD5”[Author ID1: at Thu Oct 5 05:38:00 2000 ] (MD5 challenge) oraz „[Author ID1: at Thu Oct 5 05:38:00 2000 ]Karta elektroniczna lub inny certyfikat”[Author ID1: at Thu Oct 5 05:38:00 2000 ] (s[Author ID1: at Thu Oct 5 05:38:00 2000 ]S[Author ID1: at Thu Oct 5 05:38:00 2000 ]mart c[Author ID1: at Thu Oct 5 05:38:00 2000 ]C[Author ID1: at Thu Oct 5 05:38:00 2000 ]ard or other c[Author ID1: at Thu Oct 5 05:38:00 2000 ]C[Author ID1: at Thu Oct 5 05:38:00 2000 ]ertificate). Protokół EAP jest głównie stosowany do uwierzytelniania za pomocą kart elektronicznych (smart card authentication),[Author ID1: at Thu Oct 5 05:39:00 2000 ].[Author ID1: at Thu Oct 5 05:39:00 2000 ]

Uwaga: W rzeczywistości metodą uwierzytelniania jest EAP-TLS, ale w oknie dialogowym Instalator[Author ID1: at Thu Oct 5 05:39:00 2000 ] ([Author ID1: at Thu Oct 5 05:39:00 2000 ]SS[Author ID1: at Thu Oct 5 05:39:00 2000 ]etup (Instalator[Author ID1: at Thu Oct 5 05:39:00 2000 ]) podano tylko „EAP”. Konfigurowanie metody uwierzytelniania opisano w dalszej części niniejszego rozdziału,[Author ID1: at Thu Oct 5 05:39:00 2000 ] w podrozdziale „Konfigurowanie serwera VPN”.

• MS-CHAP v2 — S[Author ID1: at Thu Oct 5 05:39:00 2000 ]s[Author ID1: at Thu Oct 5 05:39:00 2000 ]łuży do uwierzytelniania zaszyfrowanego wyłącznie klientów Windows 2000,[Author ID1: at Thu Oct 5 05:39:00 2000 ].[Author ID1: at Thu Oct 5 05:39:00 2000 ]

• MS-CHAP — s[Author ID1: at Thu Oct 5 05:39:00 2000 ]S[Author ID1: at Thu Oct 5 05:39:00 2000 ]łuży do uwierzytelniania zaszyfrowanego klientów Windows 95, Windows 98, Windows 98 i Windows 2000,[Author ID1: at Thu Oct 5 05:39:00 2000 ].[Author ID1: at Thu Oct 5 05:39:00 2000 ]

• CHAP — S[Author ID1: at Thu Oct 5 05:40:00 2000 ]s[Author ID1: at Thu Oct 5 05:40:00 2000 ]łuży do uwierzytelniania zaszyfrowanego klientów,[Author ID1: at Thu Oct 5 05:40:00 2000 ] używających różnych systemów operacyjnych,[Author ID1: at Thu Oct 5 05:40:00 2000 ].[Author ID1: at Thu Oct 5 05:40:00 2000 ]

• SPAP — s[Author ID1: at Thu Oct 5 05:40:00 2000 ]S[Author ID1: at Thu Oct 5 05:40:00 2000 ]łuży do uwierzytelniania zaszyfrowanego klientów,[Author ID1: at Thu Oct 5 05:40:00 2000 ] korzystających z oprogramowania Shiva LAN Rover,[Author ID1: at Thu Oct 5 05:40:00 2000 ].[Author ID1: at Thu Oct 5 05:40:00 2000 ]

• PAP — u[Author ID1: at Thu Oct 5 05:40:00 2000 ]U[Author ID1: at Thu Oct 5 05:40:00 2000 ]możliwia uwierzytelnianie niezaszyfrowane. Stosuje się go w przypadku, gdy klient nie obsługuje żadnego innego protokołu,[Author ID1: at Thu Oct 5 05:40:00 2000 ].[Author ID1: at Thu Oct 5 05:40:00 2000 ]

• D[Author ID1: at Thu Oct 5 05:40:00 2000 ]d[Author ID1: at Thu Oct 5 05:40:00 2000 ]ostęp nieuwierzytelniony — U[Author ID1: at Thu Oct 5 05:40:00 2000 ]u[Author ID1: at Thu Oct 5 05:40:00 2000 ]możliwia systemom zdalnym po[Author ID1: at Thu Oct 5 05:40:00 2000 ]łączenie się bez uwierzytelniania.

8. Określ metodę przydzielania adresów IP. Serwer VPN może mieć przyporządkowaną statyczną pulę adresów IP lub można korzystać z protokołu DHCP (Dynamic Host Configuration Protocol). Mogą wystąpić problemy jeżeli komputerom-klientom VPN przydziela się statyczne adresy IP.

Wskazówka: Jeśli serwer VPN jest skonfigurowany w ten sposób, by przydzielać adresy IP za pomocą protokołu DHCP,[Author ID1: at Thu Oct 5 05:41:00 2000 ] a serwer DHCP nie jest dostępny,[Author ID1: at Thu Oct 5 05:41:00 2000 ] to wtedy [Author ID1: at Thu Oct 5 05:41:00 2000 ]wówczas [Author ID1: at Thu Oct 5 05:41:00 2000 ]serwer VPN przydziela adresy z zakresu adresów Automatic Private IP Addressing (APIPA) 169.254.0.1 do 169.254.255.254. Przydzielanie klientom zdalnym adresów z zakresu APIPA działa poprawnie tylko wtedy, gdy[Author ID1: at Thu Oct 5 05:41:00 2000 ]jeśli [Author ID1: at Thu Oct 5 05:41:00 2000 ] [Author ID1: at Thu Oct 5 05:41:00 2000 ]sieć,[Author ID1: at Thu Oct 5 05:41:00 2000 ] w której znajduje się serwer VPN,[Author ID1: at Thu Oct 5 05:41:00 2000 ] również korzysta z adresów APIPA.

9. Określ pozycję serwera VPN względem zapory ogniowej (firewall). Jeśli zapora ogniowa (firewall) [Author ID1: at Thu Oct 5 05:41:00 2000 ]lub server NAT (Network Address Translation), taki jak serwer P[Author ID1: at Thu Oct 5 05:47:00 2000 ]P[Author ID1: at Thu Oct 5 05:47:00 2000 ]roxy, ochrania sieć firmową (corporate network),[Author ID1: at Thu Oct 5 05:42:00 2000 ] można podjąć decyzję o umieszczeniu serwera VPN w strefie chronionej lub poza nią:

• n[Author ID1: at Thu Oct 5 05:42:00 2000 ]N[Author ID1: at Thu Oct 5 05:42:00 2000 ]a zewnątrz zapory ogniowej (firewall)[Author ID1: at Thu Oct 5 05:42:00 2000 ] — S[Author ID1: at Thu Oct 5 05:42:00 2000 ]s[Author ID1: at Thu Oct 5 05:42:00 2000 ]erwer VPN można umieścić na zewnątrz zapory ogniowej jeśli ryzyko narażenia serwera na ataki przez Internet nie zagraża bezpieczeństwu sieci,[Author ID1: at Thu Oct 5 05:42:00 2000 ] a wszystkie dane o znaczeniu strategicznym znajdują się za zaporą ogniową (firewall) [Author ID1: at Thu Oct 5 05:42:00 2000 ]i dostęp zdalny poprzez zaporę ogniową (firewall) [Author ID1: at Thu Oct 5 05:42:00 2000 ]nią [Author ID1: at Thu Oct 5 05:42:00 2000 ]jest ograniczony tylko do [Author ID1: at Thu Oct 5 05:42:00 2000 ]serwera VPN. Umieszczenie serwera VPN na zewnątrz zapory ogniowej (firewall) [Author ID1: at Thu Oct 5 05:42:00 2000 ]może rozwiązać[Author ID1: at Thu Oct 5 05:43:00 2000 ]c[Author ID1: at Thu Oct 5 05:43:00 2000 ] zagrożenia związane z umożliwieniem doste[Author ID1: at Thu Oct 5 05:43:00 2000 ]ę[Author ID1: at Thu Oct 5 05:43:00 2000 ]pu do pełnego zakresu adresów IP wirtualnych sieci prywatnych (VPN) [Author ID1: at Thu Oct 5 05:43:00 2000 ]poprzez zaporę ogniową [Author ID1: at Thu Oct 5 05:43:00 2000 ](firewall). Kiedy serwer VPN znajduje się na zewnątrz zapory ogniowej,[Author ID1: at Thu Oct 5 05:43:00 2000 ] (firewall) [Author ID1: at Thu Oct 5 05:43:00 2000 ]rozdzielone zostają funkcje wirtualnych sieci prywatnych (VPN)[Author ID1: at Thu Oct 5 05:43:00 2000 ] i usługi RRAS. Inaczej mówiąc,[Author ID1: at Thu Oct 5 05:43:00 2000 ] serwer RRAS połączony z serwerem VPN znajduje się za zaporą ogniową (firewall)[Author ID1: at Thu Oct 5 05:43:00 2000 ],[Author ID1: at Thu Oct 5 05:44:00 2000 ].[Author ID1: at Thu Oct 5 05:44:00 2000 ]

Wskazówka: Kiedy serwer VPN jest umieszczony na zewnątrz zapory ogniowej (firewall) należy utworzyć tunel IPSec (IPSec tunnel) pomiędzy serwerem VPN a serwerem RRAS, znajdującym się za zaporą ogniową (firewall) [Author ID1: at Thu Oct 5 05:44:00 2000 ]i skonfigurować zaporę ogniową [Author ID1: at Thu Oct 5 05:44:00 2000 ]w ten sposób, by umożliwić komunikacje tylko przez ten tunel. Konieczne jest szyfrowanie wszystkich danych przesyłanych pomiędzy serwerami, korzystając z klucza o maksymalnej możliwej długości i skonfigurowanie serwera VPN jako serwera autonomicznego (standalone server),[Author ID1: at Thu Oct 5 05:44:00 2000 ] co ograniczy dostęp do baz danych usług katalogowych Active Directory.

• Z[Author ID1: at Thu Oct 5 05:44:00 2000 ]z[Author ID1: at Thu Oct 5 05:44:00 2000 ]a zaporą ogniową (firewall) — J[Author ID1: at Thu Oct 5 05:44:00 2000 ]j[Author ID1: at Thu Oct 5 05:44:00 2000 ]eśli nie wolno narażać serwera VPN na ataki przez Internet,[Author ID1: at Thu Oct 5 05:44:00 2000 ] a można zezwolić na dostęp do pełnego zakresu adresów IP wirtualnych sieci prywatnych poprzez zaporę,[Author ID1: at Thu Oct 5 05:44:00 2000 ] ogniową (firewall) [Author ID1: at Thu Oct 5 05:44:00 2000 ]konieczne jest umieszczenie serwera VPN za zapora[Author ID1: at Thu Oct 5 05:45:00 2000 ]ą[Author ID1: at Thu Oct 5 05:45:00 2000 ] ogniową. W tym przypadku należy ją [Author ID1: at Thu Oct 5 05:45:00 2000 ]skonfigurować zaporę ogniową (firewall) [Author ID1: at Thu Oct 5 05:45:00 2000 ]w ten sposób, aby umożliwić przesyłanie danych za pomocą protokołów PPTP i L2TP w całym zakresie adresów VPN.

[Author ID1: at Thu Oct 5 05:45:00 2000 ]

10. Zajmij się zagadnieniami związanymi z zastosowaniem translatora adresów se[Author ID1: at Thu Oct 5 05:54:00 2000 ]ie[Author ID1: at Thu Oct 5 05:54:00 2000 ]ciowych (Network Address Translator [Author ID1: at Thu Oct 5 05:46:00 2000 ]-[Author ID1: at Thu Oct 5 05:46:00 2000 ]— [Author ID1: at Thu Oct 5 05:46:00 2000 ]NAT). Jeśli w danej sieci znajduje się serwer NAT, taki jak serwer P[Author ID1: at Thu Oct 5 05:48:00 2000 ]P[Author ID1: at Thu Oct 5 05:47:00 2000 ]roxy, może pojawić się problem związany z podłączeniem do sieci serwera VPN, ponieważ niektóre serwery aplikacji (application severs) zapisują bezpośrednio adres IP i numer portu klienta zdalnego. Aby takie aplikacje mogły pracować prawidłowe[Author ID1: at Thu Oct 5 05:54:00 2000 ]o,[Author ID1: at Thu Oct 5 05:54:00 2000 ] konieczna jest dla nich tablica translacji (translation table) w urządzeniu mającym funkcję translatora adresów sieciowych (NAT device). Protokół PPTP nie szyfruje nagłówków IP (IP headers) i może być stosowany z dowolnym urządzeniem, mającym funkcję translatora adresów sieciowych (NAT device). Jednak IPSec z szyfrowaniem za pomocą nagłówków uwierzytelnijących (AH encryption) szyfruje nagłówki IP. Tak więc protokół L2TP over [Author ID1: at Thu Oct 5 05:57:00 2000 ]po[Author ID1: at Thu Oct 5 05:57:00 2000 ] [Author ID1: at Thu Oct 5 06:01:00 2000 ]IPSec może nie działać prawidłowo w przypadku apliakcji, które wymagają tablic translacji translatora adresów sieciowych (NAT translation tables).

11. Podejmij decyzję, czy wprowadzić protokół RADIUS. Jest to korzystne w nastę[Author ID1: at Thu Oct 5 06:54:00 2000 ]e[Author ID1: at Thu Oct 5 06:54:00 2000 ]pujących przypadkach:

• K[Author ID1: at Thu Oct 5 06:01:00 2000 ]k[Author ID1: at Thu Oct 5 06:01:00 2000 ]onieczne jest uwierzytelnianie kont uz[Author ID1: at Thu Oct 5 06:01:00 2000 ]ż[Author ID1: at Thu Oct 5 06:01:00 2000 ]ytkowników zdalnych za pomocą metod innych niż uwierzytelnianie w systemie Windows 2000, na[Author ID1: at Thu Oct 5 06:01:00 2000 ] [Author ID1: at Thu Oct 5 06:02:00 2000 ]przykład[Author ID1: at Thu Oct 5 06:02:00 2000 ].[Author ID1: at Thu Oct 5 06:02:00 2000 ] klientów uniksowych (Unix clients),[Author ID1: at Thu Oct 5 06:02:00 2000 ].[Author ID1: at Thu Oct 5 06:02:00 2000 ]

• w[Author ID1: at Thu Oct 5 06:02:00 2000 ]W[Author ID1: at Thu Oct 5 06:02:00 2000 ] danej sieci jest wiele serwerów VPN lub (i) RRAS, które należy tak skonfigurować, aby korzystały ze wspólnych zasad (common policies[Author ID1: at Thu Oct 5 06:02:00 2000 ]y[Author ID1: at Thu Oct 5 06:02:00 2000 ]),[Author ID1: at Thu Oct 5 06:02:00 2000 ].[Author ID1: at Thu Oct 5 06:02:00 2000 ]

• k[Author ID1: at Thu Oct 5 06:02:00 2000 ]K[Author ID1: at Thu Oct 5 06:02:00 2000 ]onieczne jest scentralizowane zapisywanie (accounting) statusu logowania.

12. Zajmij się zagadnieniami związanymi z serwerami VPN. Wiele serwerów VPN zapewnia wysoką dostę[Author ID1: at Thu Oct 5 06:54:00 2000 ]e[Author ID1: at Thu Oct 5 06:54:00 2000 ]pność zasobów sieciowych oraz przełączanie awaryjne (fail-over support). Można je skonfigurować,[Author ID1: at Thu Oct 5 06:02:00 2000 ] korzystając z któregoś z podanych poniż[Author ID1: at Thu Oct 5 08:17:00 2000 ]z[Author ID1: at Thu Oct 5 08:17:00 2000 ]ej sposobów:

• K[Author ID1: at Thu Oct 5 06:04:00 2000 ]k[Author ID1: at Thu Oct 5 06:04:00 2000 ]lastrowanie w systemie Windows (Windows clustering) — z[Author ID1: at Thu Oct 5 06:04:00 2000 ]Z[Author ID1: at Thu Oct 5 06:04:00 2000 ]apewnia redundancję serwerów VPN i scentralizowane administrowanie. Wszystkie serwery w danym klastrze (cluster) powinny mieć szybkie łącza stałe. Klastrowanie (clustering) [Author ID1: at Thu Oct 5 06:05:00 2000 ]jest zasobochłonne (resource-intensive). Przełączanie awaryjne (fail-over) następuje automatycznie i klienc[Author ID1: at Thu Oct 5 06:05:00 2000 ]i[Author ID1: at Thu Oct 5 06:05:00 2000 ]ty[Author ID1: at Thu Oct 5 06:05:00 2000 ] dostę[Author ID1: at Thu Oct 5 06:05:00 2000 ]e[Author ID1: at Thu Oct 5 06:05:00 2000 ]pu zdalnego (remote access clients) nie otrzymują komunikatów o przekroczeniu czasu (time-out messages),[Author ID1: at Thu Oct 5 06:05:00 2000 ] próbując połączyć się z nieczynnym serwerem VPN,[Author ID1: at Thu Oct 5 06:05:00 2000 ].[Author ID1: at Thu Oct 5 06:05:00 2000 ]

• c[Author ID1: at Thu Oct 5 06:05:00 2000 ]C[Author ID1: at Thu Oct 5 06:05:00 2000 ]ykliczny system DNS (Domain Name System round-robin) — W[Author ID1: at Thu Oct 5 06:05:00 2000 ]w[Author ID1: at Thu Oct 5 06:05:00 2000 ] metodzie tej dla grupy serwerów VPN stosuje się tę[Author ID1: at Thu Oct 5 06:06:00 2000 ]ą[Author ID1: at Thu Oct 5 06:06:00 2000 ] samą pełną nazwę domeny (f[Author ID1: at Thu Oct 5 06:06:00 2000 ]F[Author ID1: at Thu Oct 5 06:06:00 2000 ]ully q[Author ID1: at Thu Oct 5 06:06:00 2000 ]Q[Author ID1: at Thu Oct 5 06:06:00 2000 ]ualified d[Author ID1: at Thu Oct 5 06:06:00 2000 ]D[Author ID1: at Thu Oct 5 06:06:00 2000 ]omain n[Author ID1: at Thu Oct 5 06:06:00 2000 ]N[Author ID1: at Thu Oct 5 06:06:00 2000 ]ame [Author ID1: at Thu Oct 5 06:06:00 2000 ]-[Author ID1: at Thu Oct 5 06:06:00 2000 ]— [Author ID1: at Thu Oct 5 06:06:00 2000 ]FQDN),[Author ID1: at Thu Oct 5 06:06:00 2000 ] ale oddzielne adresy IP. Metoda cykliczna (round-robin) zapewnia redundancję (redundancy),[Author ID1: at Thu Oct 5 06:06:00 2000 ] i[Author ID1: at Thu Oct 5 06:06:00 2000 ] dostę[Author ID1: at Thu Oct 5 06:54:00 2000 ]e[Author ID1: at Thu Oct 5 06:54:00 2000 ]pność (availability) i jest mniej zasobochłonna niż klastrowanie (clu[Author ID1: at Thu Oct 5 06:06:00 2000 ]stering)[Author ID1: at Thu Oct 5 06:06:00 2000 ]. Przełączanie awaryjne (fail-over) [Author ID1: at Thu Oct 5 06:06:00 2000 ]nie jest automatyczne i użytkownicy, próbując połączyć się z nieczynnym serwerem VPN, będą otrzymywali[Author ID1: at Thu Oct 5 06:06:00 2000 ]ć[Author ID1: at Thu Oct 5 06:06:00 2000 ] komunikaty o prze[Author ID1: at Thu Oct 5 06:06:00 2000 ]kroczeniu czasu (time-out messages).

[Author ID1: at Thu Oct 5 06:06:00 2000 ]

Konfigurowanie serwera VPN

Zwykle Wirtualna Sieć Prywatna (Virtual Private Network) jest ustanawiana pomiędzy klientem zdalnym (remote client) a serwerem RRAS lub pomiędzy dwoma serwerami RRAS. Poniżej opisano procedurę instalowania ser[Author ID1: at Thu Oct 5 06:07:00 2000 ]wr[Author ID1: at Thu Oct 5 06:07:00 2000 ]era RRAS, który jest skonfigurowany w ten sposób, by używać Wirtualnych Sieci Prywatnych (VPNs) za pomocą serwera IIS domeny lub usługodawcy internetowego (ISP).

Uwaga: Serwer RRAS skonfigurowany w ten sposób, by stososo[Author ID0: at Thu Nov 30 00:00:00 1899 ]wać Wirtualne Sieci Prywatne (VPN) nosi nazwę serwera VPN. Jest to wygodne określenie, stosowane w niniejszym rozdziale, chociaż nie jest ścisłe, ponieważ Wirtualne Sieci Prywatne (VPN) nie są usługą.

1. Zaloguj się jako administrator na serwerze Windows 2000, który będzie obsługiwał dostęp zdalny. [Author ID1: at Thu Oct 5 07:01:00 2000 ]

2. Przejdź do menu Start/[Author ID2: at Tue Jul 17 09:32:00 2001 ]|[Author ID2: at Tue Jul 17 09:32:00 2001 ]Programy/[Author ID2: at Tue Jul 17 09:32:00 2001 ]|[Author ID2: at Tue Jul 17 09:32:00 2001 ]Narzędzia administracyjne (S[Author ID1: at Thu Oct 5 07:01:00 2000 ]Start\|[Author ID2: at Tue Jul 17 09:32:00 2001 ]P[Author ID1: at Thu Oct 5 07:01:00 2000 ]Programs\|[Author ID2: at Tue Jul 17 09:32:00 2001 ]A[Author ID1: at Thu Oct 5 07:01:00 2000 ]Administrative t[Author ID1: at Thu Oct 5 07:01:00 2000 ]T[Author ID1: at Thu Oct 5 07:01:00 2000 ]ools|[Author ID2: at Tue Jul 17 09:32:00 2001 ]) i wybierz opcję Routing i Dostęp Zdalny (R[Author ID1: at Thu Oct 5 07:01:00 2000 ]Routing and R[Author ID1: at Thu Oct 5 07:02:00 2000 ]Remote A[Author ID1: at Thu Oct 5 07:02:00 2000 ]Access).

3. Kliknij na [Author ID1: at Thu Oct 5 07:02:00 2000 ]pozycję[Author ID1: at Thu Oct 5 07:02:00 2000 ]i[Author ID1: at Thu Oct 5 07:02:00 2000 ] Routing i Dostęp Zdalny [Author ID1: at Thu Oct 5 07:02:00 2000 ](Routing and Remote Access)[Author ID1: at Thu Oct 5 07:02:00 2000 ]. Z menu Akcje (A[Author ID1: at Thu Oct 5 07:02:00 2000 ]Action) wybierz polecenie Dodaj Serwer (A[Author ID1: at Thu Oct 5 07:02:00 2000 ]Add S[Author ID1: at Thu Oct 5 07:02:00 2000 ]Server).

4. Zaznacz opcję Ten Komputer (TT[Author ID1: at Thu Oct 5 07:02:00 2000 ]his Computer) i naciśnij przycisk OK.

5. Prawym klawiszem [Author ID1: at Thu Oct 5 07:02:00 2000 ]przyciskiem [Author ID1: at Thu Oct 5 07:02:00 2000 ]myszki kliknij [Author ID1: at Thu Oct 5 07:02:00 2000 ]zaznacz [Author ID1: at Thu Oct 5 07:02:00 2000 ]nazwę serwera i z menu wybierz pozycję [Author ID1: at Thu Oct 5 07:02:00 2000 ]Konfiguruj i włącz routing i dostęp zdalny (CC[Author ID1: at Thu Oct 5 07:02:00 2000 ]onfigure and E[Author ID1: at Thu Oct 5 07:02:00 2000 ]e[Author ID1: at Thu Oct 5 07:02:00 2000 ]nable r[Author ID1: at Thu Oct 5 07:02:00 2000 ]R[Author ID1: at Thu Oct 5 07:02:00 2000 ]outing and R[Author ID1: at Thu Oct 5 07:02:00 2000 ]r[Author ID1: at Thu Oct 5 07:02:00 2000 ]emote A[Author ID1: at Thu Oct 5 07:02:00 2000 ]a[Author ID1: at Thu Oct 5 07:02:00 2000 ]ccess).

6. Uruchomiony zostanie Kreator instalacji serwera routingu i dostępu zdalnego (R[Author ID1: at Thu Oct 5 07:02:00 2000 ]Routing and R[Author ID1: at Thu Oct 5 07:02:00 2000 ]r[Author ID1: at Thu Oct 5 07:03:00 2000 ]emote A[Author ID1: at Thu Oct 5 07:03:00 2000 ]a[Author ID1: at Thu Oct 5 07:03:00 2000 ]ccess s[Author ID1: at Thu Oct 5 07:03:00 2000 ]S[Author ID1: at Thu Oct 5 07:03:00 2000 ]erver S[Author ID1: at Thu Oct 5 07:03:00 2000 ]s[Author ID1: at Thu Oct 5 07:03:00 2000 ]etup w[Author ID1: at Thu Oct 5 07:03:00 2000 ]W[Author ID1: at Thu Oct 5 07:03:00 2000 ]izard). Naciś[Author ID1: at Thu Oct 5 07:03:00 2000 ]s[Author ID1: at Thu Oct 5 07:03:00 2000 ]nij przycisk Dalej (N[Author ID1: at Thu Oct 5 07:04:00 2000 ]Next).

7. Wybierz opcję Serwer Wirtualnej Sieci Prywatnej (Virtual Private Network (VPN) [Author ID1: at Thu Oct 5 07:04:00 2000 ]Server) i[Author ID1: at Thu Oct 5 07:04:00 2000 ] wybierz[Author ID1: at Thu Oct 5 07:04:00 2000 ]. Naci[Author ID1: at Thu Oct 5 07:04:00 2000 ]s[Author ID1: at Thu Oct 5 07:03:00 2000 ]nij przycisk[Author ID1: at Thu Oct 5 07:04:00 2000 ] Dalej (Next)[Author ID1: at Thu Oct 5 07:05:00 2000 ].

Uwaga: Można również określić połączenia przychodzące,[Author ID1: at Thu Oct 5 07:06:00 2000 ] przech[Author ID1: at Thu Oct 5 07:06:00 2000 ]odząc do menu Start\Ustawienia\Połączenia sieciowe i telefoniczne (SS[Author ID1: at Thu Oct 5 07:06:00 2000 ]tart\S[Author ID1: at Thu Oct 5 07:06:00 2000 ]Settings\N[Author ID1: at Thu Oct 5 07:06:00 2000 ]Network and d[Author ID1: at Thu Oct 5 07:06:00 2000 ]D[Author ID1: at Thu Oct 5 07:06:00 2000 ]ial-up C[Author ID1: at Thu Oct 5 07:06:00 2000 ]c[Author ID1: at Thu Oct 5 07:06:00 2000 ]onnections) i wybierając polecenie Utwórz Nowe Połączenie (M[Author ID1: at Thu Oct 5 07:06:00 2000 ]Make N[Author ID1: at Thu Oct 5 07:06:00 2000 ]New C[Author ID1: at Thu Oct 5 07:06:00 2000 ]Connection).

8. Jeśli lista protokołów komunikacyjnych zawiera wszystkie wymagane protokoły,[Author ID1: at Thu Oct 5 07:06:00 2000 ] zaznacz opcję Tak, wszystkie dostępne protokoły są na tej liście (Y[Author ID1: at Thu Oct 5 07:06:00 2000 ]Yes, all of the available protocols are on this list). W prze[Author ID1: at Thu Oct 5 07:06:00 2000 ]ciwnym prz[Author ID1: at Thu Oct 5 07:06:00 2000 ]ypadku [Author ID1: at Thu Oct 5 07:06:00 2000 ]razie [Author ID1: at Thu Oct 5 07:06:00 2000 ]zaznacz [Author ID1: at Thu Oct 5 07:06:00 2000 ]wybierz [Author ID1: at Thu Oct 5 07:06:00 2000 ]Nie, chcę dodać protokoły (N[Author ID1: at Thu Oct 5 07:07:00 2000 ]No, I need to add protocols). Protokół, który ma zostać dodany,[Author ID1: at Thu Oct 5 07:07:00 2000 ] musi być zainstalowany na tym komputerze. W niniejszym przykładzie przyję[Author ID1: at Thu Oct 5 07:07:00 2000 ]e[Author ID1: at Thu Oct 5 07:07:00 2000 ]to, że wszystkie protokoły znajdują się na liście.

9. Naciśnij przycisk Dalej [Author ID1: at Thu Oct 5 07:07:00 2000 ](Next)[Author ID1: at Thu Oct 5 07:07:00 2000 ]. Podaj połączenie z Internetem, z którego korzysta serwer. Połączenie może być wykonywane za pomocą IIS w danej sieci lub za pomocą usługodawcy internetowego.

10. Naciśnij przycisk [Author ID1: at Thu Oct 5 07:08:00 2000 ]Dalej [Author ID1: at Thu Oct 5 07:08:00 2000 ](Next)[Author ID1: at Thu Oct 5 07:08:00 2000 ].

11. Aby przydzielić adresy użytkownikom zdalnym oraz użytkownikom wewnętrznym (internal user),[Author ID1: at Thu Oct 5 07:08:00 2000 ] można korzystać z usługi RAS, która przydziela adresy IP z podanego zakresu,[Author ID1: at Thu Oct 5 07:08:00 2000 ] lub z serwera DHCP. Jeśli adresy mają być przydzielane z określonego zakresu, należy upewnić się, czy wszystkie te adresy zostały usuniete z zakresu DHCP. Wybierz odpowiednią opcję[Author ID1: at Thu Oct 5 07:22:00 2000 ]e[Author ID1: at Thu Oct 5 07:22:00 2000 ] i naciśnij przycisk Dalej [Author ID1: at Thu Oct 5 07:08:00 2000 ](Next)[Author ID1: at Thu Oct 5 07:08:00 2000 ].

12. Jeśli wybrałeś przydzielanie adresów z określonego zakresu (pula statyczna [Author ID1: at Thu Oct 5 07:08:00 2000 ]-[Author ID1: at Thu Oct 5 07:08:00 2000 ]— [Author ID1: at Thu Oct 5 07:08:00 2000 ]static pool) podaj zakres adresów i naciśnij przycisk Dalej (N[Author ID1: at Thu Oct 5 07:09:00 2000 ]Next).

13. W przypadku jeśli jest kilka serwerów RRAS i chcesz zarządzać nimi w sposób scentralizowany,[Author ID1: at Thu Oct 5 07:09:00 2000 ] możesz w tym celu wybrać serwer RADIUS. Jeśli opcja ta została wybrana,[Author ID1: at Thu Oct 5 07:09:00 2000 ] zostaniesz poproszony o podanie nazw serwera podstawowego i serwera alternatywnego RADIUS w danej sieci oraz klucza tajnego (hasła[Author ID1: at Thu Oct 5 07:09:00 2000 ]ą[Author ID1: at Thu Oct 5 07:09:00 2000 ]), koniecznego do uzyskania dostępu. Wybierz opcję Nie, nie chcę teraz konfigurować tego serwera do używania usługi RADIUS [Author ID1: at Thu Oct 5 07:10:00 2000 ]N[Author ID1: at Thu Oct 5 07:10:00 2000 ]([Author ID1: at Thu Oct 5 07:10:00 2000 ]No, I don't want to set up this server to use RADIUS now (Nie, nie chcę teraz konfigurować tego serwera do używania usługi RADIUS[Author ID1: at Thu Oct 5 07:10:00 2000 ]) lub opcję Tak, chcę używać serwera usługi RADIUS[Author ID1: at Thu Oct 5 07:10:00 2000 ] ([Author ID1: at Thu Oct 5 07:10:00 2000 ]YY[Author ID1: at Thu Oct 5 07:10:00 2000 ]es, I want to use a RADIUS server ([Author ID1: at Thu Oct 5 07:10:00 2000 ]Tak, chcę używać serwera usługi RADIUS[Author ID1: at Thu Oct 5 07:10:00 2000 ]) i podaj odpowiednie informacje.

Wskazówka: Można skonfigurować serwery usługi RADIUS z mocą wsteczną (retrospectively).

14. Naciśnij przycisk Dalej [Author ID1: at Thu Oct 5 07:11:00 2000 ](Next) [Author ID1: at Thu Oct 5 07:11:00 2000 ], [Author ID1: at Thu Oct 5 07:11:00 2000 ]a potem przycisk [Author ID1: at Thu Oct 5 07:11:00 2000 ]Zakończ (F[Author ID1: at Thu Oct 5 07:11:00 2000 ]Finish).

15. Pojawi się komunikat radzący, by skonfigurować agenta przekazywania DHCP (DHCP relay agent),[Author ID1: at Thu Oct 5 07:11:00 2000 ] podając adres serwera DHCP w danej sieci. Aby zamknąć okno komunikatu,[Author ID1: at Thu Oct 5 07:11:00 2000 ] naciśnij [Author ID1: at Thu Oct 5 07:11:00 2000 ]potwierdź[Author ID1: at Thu Oct 5 07:11:00 2000 ], klikając[Author ID2: at Tue Jul 17 09:33:00 2001 ] [Author ID1: at Thu Oct 5 07:11:00 2000 ]przycisk [Author ID1: at Thu Oct 5 07:11:00 2000 ]OK.

16. Rozwiń drzewo Routing i Dostęp Zdalny (RR[Author ID1: at Thu Oct 5 07:11:00 2000 ]outing And R[Author ID1: at Thu Oct 5 07:11:00 2000 ]Remote AA[Author ID1: at Thu Oct 5 07:11:00 2000 ]ccess) w sposób przedstawiony na rysunku 11.5. Prawym klawiszem [Author ID1: at Thu Oct 5 07:11:00 2000 ]przyciskiem [Author ID1: at Thu Oct 5 07:11:00 2000 ]myszki kliknij pozycję Agent Przekazywania DHCP (DHCP R[Author ID1: at Thu Oct 5 07:12:00 2000 ]Relay AA[Author ID1: at Thu Oct 5 07:12:00 2000 ]gent) i z menu wybierz opcję Właściwości (P[Author ID1: at Thu Oct 5 07:12:00 2000 ]Properties).

17. Do listy Agent Przekazywania DHCP Właściwości (DHCP RR[Author ID1: at Thu Oct 5 07:12:00 2000 ]elay AA[Author ID1: at Thu Oct 5 07:12:00 2000 ]gent PP[Author ID1: at Thu Oct 5 07:12:00 2000 ]roperties) wpisz adres serwera DHCP danej sieci. Naciśnij przycisk OK.

18. Zamknij przystawkę (snap-in) konsoli MMC.

Rysunek 11.5.[Author ID1: at Thu Oct 5 07:12:00 2000 ] Konfigurowanie Agenta Przekazywania DHCP (DHCP Relay Agent).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Konfigurowanie serwera VPN

Kiedy serwer RRAS zostanie skonfigurowany w ten sposób, by korzystać z Wirtualnych Sieci Prywatnych (VPNs[Author ID1: at Thu Oct 5 07:12:00 2000 ]), konieczne jest podjęcie wielu decyzji dotyczących konfiguracji. Poniższa procedura konfigurowania serwera VPN nie określa konkretnych opcji, ale[Author ID1: at Thu Oct 5 07:13:00 2000 ] a zamiast tego[Author ID1: at Thu Oct 5 07:13:00 2000 ] podaje,[Author ID1: at Thu Oct 5 07:13:00 2000 ] gdzie można je znaleźć i omawia skutki dokonanych zmian.

1. Zaloguj się jako administrator na serwerze RRAS.

2. Przejdź do menu Start|Programy|Narzędzia administracyjne (SS[Author ID1: at Thu Oct 5 07:13:00 2000 ]tart\P[Author ID1: at Thu Oct 5 07:13:00 2000 ]Programs\AA[Author ID1: at Thu Oct 5 07:13:00 2000 ]dministrative t[Author ID1: at Thu Oct 5 07:13:00 2000 ]T[Author ID1: at Thu Oct 5 07:13:00 2000 ]ools) i wybierz polecenie Routing i Dostęp Zdalny (R[Author ID1: at Thu Oct 5 07:13:00 2000 ]Routing And R[Author ID1: at Thu Oct 5 07:13:00 2000 ]Remote A[Author ID1: at Thu Oct 5 07:13:00 2000 ]Access).

3. Prawym klawiszem [Author ID1: at Thu Oct 5 07:13:00 2000 ]przyciskiem [Author ID1: at Thu Oct 5 07:13:00 2000 ]myszki kliknij nazwę serwera i z menu wybierz pozycję Właściwości (PP[Author ID1: at Thu Oct 5 07:13:00 2000 ]roperties). Prawdopodobnie nie będziesz chciał zmieniać ustawień w zakładce Ogólne (G[Author ID1: at Thu Oct 5 07:13:00 2000 ]General),[Author ID1: at Thu Oct 5 07:13:00 2000 ] o ile nie będzie chodziło o wyłączenie usługi RAS lub routingu.

4. Wybierz zakładkę Zabezpieczenia (S[Author ID1: at Thu Oct 5 07:13:00 2000 ]Security).

5. Przejdź do listy usługodawców uwierzytelniania (a[Author ID1: at Thu Oct 5 07:13:00 2000 ]A[Author ID1: at Thu Oct 5 07:13:00 2000 ]uthentication provider drop [Author ID1: at Thu Oct 5 07:14:00 2000 ]-[Author ID1: at Thu Oct 5 07:14:00 2000 ]— [Author ID1: at Thu Oct 5 07:14:00 2000 ]down box). Usługodawcą (provider) może być system Windows lub usługa RADIUS. Jeśli nie określiłeś serwera usługi RADIUS na etapie konfigurowania usługi RRAS,[Author ID1: at Thu Oct 5 07:14:00 2000 ] lub jeśli teraz [Author ID1: at Thu Oct 5 06:58:00 2000 ] [Author ID1: at Thu Oct 5 06:58:00 2000 ]zainstalowałeś w sieci taki serwer, można to zrobić teraz.

Wskazówka: Uwierzytelnianie przez usługę RADIUS może uwierzytelniać użytkowników zdalnych za pomocą metod innych niż w przypadku uwierzytelniania przez system Windows 2000, np.[Author ID1: at Thu Oct 5 07:14:00 2000 ]. Na przykład[Author ID1: at Thu Oct 5 07:14:00 2000 ] korzystając z usługi RADIUS,[Author ID1: at Thu Oct 5 07:14:00 2000 ] serwer VPN może uwierzytelniać uz[Author ID1: at Thu Oct 5 06:57:00 2000 ]ż[Author ID1: at Thu Oct 5 06:57:00 2000 ]ytkowników zdalnych,[Author ID1: at Thu Oct 5 07:14:00 2000 ] uzyskując dostę[Author ID1: at Thu Oct 5 06:54:00 2000 ]e[Author ID1: at Thu Oct 5 06:54:00 2000 ]p do bazy danych kont użytkowników systemu Unix.

6. Przejdź do listy Dostawca Księgowania (A[Author ID1: at Thu Oct 5 07:14:00 2000 ]Accounting Provider drop [Author ID1: at Thu Oct 5 07:15:00 2000 ]-[Author ID1: at Thu Oct 5 07:15:00 2000 ]— [Author ID1: at Thu Oct 5 07:15:00 2000 ]down box). Dostawca księgowania (accounting provider) [Author ID1: at Thu Oct 5 07:15:00 2000 ]utrzymuje listę żądań i ustawień połączeń. Do wyboru są: Windows, RADIUS lub brak.

7. Naciśnij przycisk Metody Uwierzytelniania (AA[Author ID1: at Thu Oct 5 07:15:00 2000 ]uthentication MM[Author ID1: at Thu Oct 5 07:15:00 2000 ]ethods). Można wybrać jeden lub kilka protokołów uwierzytelniania (zob.[Author ID1: at Thu Oct 5 07:15:00 2000 ]patrz[Author ID1: at Thu Oct 5 07:15:00 2000 ] rysunek 11.6). Naciśnij przycisk [Author ID1: at Thu Oct 5 07:15:00 2000 ]OK.

8. Wybierz zakładkę IP. W oknie tym można dodać adres do puli adresów statycznych, włączyć przydzielanie adresów przez usługę DHCP, włączyć lub wyłączyć routing IP oraz włączyć lub wyłączyć połączenia dostępu zdalnego i wybierania numerów na żądanie oparte na protokole IP.

9. Wybierz zakładkę[Author ID1: at Thu Oct 5 07:15:00 2000 ]e[Author ID1: at Thu Oct 5 07:15:00 2000 ] PPP. W oknie tym można włączyć lub wyłączyć nastę[Author ID1: at Thu Oct 5 06:53:00 2000 ]e[Author ID1: at Thu Oct 5 06:53:00 2000 ]pujące funkcje:

• Ł[Author ID1: at Thu Oct 5 07:15:00 2000 ]ł[Author ID1: at Thu Oct 5 07:15:00 2000 ]ącze wielokrotne (multilink). Jeśli jest włączone,[Author ID1: at Thu Oct 5 07:16:00 2000 ] masz również możliwość włączenia dynamicznej kontroli przepustowości (dynamic bandwidth control),[Author ID1: at Thu Oct 5 07:16:00 2000 ].[Author ID1: at Thu Oct 5 07:16:00 2000 ]

• R[Author ID1: at Thu Oct 5 07:16:00 2000 ]r[Author ID1: at Thu Oct 5 07:16:00 2000 ]ozszerzenia protokołu kontroli łączy (Link Control Protocol (LCP) extensions[Author ID1: at Thu Oct 5 07:16:00 2000 ]LCP[Author ID1: at Thu Oct 5 07:16:00 2000 ]) (Link Control[Author ID1: at Thu Oct 5 07:16:00 2000 ] Protocol extensions)[Author ID1: at Thu Oct 5 07:16:00 2000 ],[Author ID1: at Thu Oct 5 07:16:00 2000 ].[Author ID1: at Thu Oct 5 07:16:00 2000 ]

• K[Author ID1: at Thu Oct 5 07:16:00 2000 ]k[Author ID1: at Thu Oct 5 07:16:00 2000 ]ompresja programowa.[Author ID1: at Thu Oct 5 07:16:00 2000 ]

Rysunek 11.6.[Author ID1: at Thu Oct 5 07:16:00 2000 ] Wybór metod uwierzytelniania.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

10. Wybierz zakładkę Rejestrowanie Zdarzeń (E[Author ID1: at Thu Oct 5 07:16:00 2000 ]Event L[Author ID1: at Thu Oct 5 07:16:00 2000 ]Logging). W oknie tym można ustawić poziom rejestrowania zdarzeń i włączyć zapisywanie komunikatów sterujących protokołu PPP (dziennik protokołu PPP). Dziennik protokołu PPP[Author ID1: at Thu Oct 5 07:17:00 2000 ], który[Author ID1: at Thu Oct 5 07:17:00 2000 ] jest przydatny jako narzędzie do wykrywania błędów w przypadku wystę[Author ID1: at Thu Oct 5 07:17:00 2000 ]e[Author ID1: at Thu Oct 5 07:17:00 2000 ]powania problemów z połączeniami zdalnymi)[Author ID1: at Thu Oct 5 07:17:00 2000 ].

11. Po wybraniu odpowiednich opcji naciśnij przycisk OK. Jeśli pojawi się okno dialogowe odsyłające do pliku pomocy naciśnij przycisk [Author ID1: at Thu Oct 5 07:18:00 2000 ]Nie (N[Author ID1: at Thu Oct 5 07:18:00 2000 ]No), aby je zamknąć. Naciśnij [Author ID1: at Thu Oct 5 07:18:00 2000 ]Zaznacz [Author ID1: at Thu Oct 5 07:18:00 2000 ]przycisk [Author ID1: at Thu Oct 5 07:18:00 2000 ]OK.[Author ID1: at Thu Oct 5 07:18:00 2000 ] i zamknij przystawkę (snap-in) konsoli MMC.

Konfigurowanie klienta VPN

Komputerem-klientem VPN może być stacja robocza, laptop przenoszony z miejsca na miejsce przez sprzedawcę (salesperson) i uż[Author ID1: at Thu Oct 5 07:18:00 2000 ]z[Author ID1: at Thu Oct 5 07:18:00 2000 ]ywany do łączenia się z usługodawcą internetowym (ISP) z dowolnego miejsca. Komputerem-klientem może być również komputer stacjonarny, na [Author ID1: at Thu Oct 5 07:19:00 2000 ]przykład[Author ID1: at Thu Oct 5 07:19:00 2000 ].[Author ID1: at Thu Oct 5 07:19:00 2000 ] w oddziale firmy, który ma bezpośredni [Author ID1: at Thu Oct 5 07:19:00 2000 ]dostę[Author ID1: at Thu Oct 5 06:54:00 2000 ]e[Author ID1: at Thu Oct 5 06:54:00 2000 ]p do Wirualnej Sieć Prywatnej (VPN) bezpośrednio [Author ID1: at Thu Oct 5 07:19:00 2000 ]przez połączenie intranetowe lub interentowe. Zwykle [Author ID1: at Thu Oct 5 07:19:00 2000 ]Na ogół [Author ID1: at Thu Oct 5 07:19:00 2000 ]takie komputery mają dostę[Author ID1: at Thu Oct 5 06:54:00 2000 ]e[Author ID1: at Thu Oct 5 06:54:00 2000 ]p do Wirtualnej Sieci Prywatnej (VPN) za pos[Author ID1: at Thu Oct 5 07:19:00 2000 ]ś[Author ID1: at Thu Oct 5 07:19:00 2000 ]rednictwem serwera usługi RRAS, zainstalowanego w oddziale firmy. W takim przypadku klientem VPN jest zdalny serwer usługi RRAS lub router wywołujący.

Poniżej zamieszczono procedurę konfigurowania komputera-klienta:

1. Zaloguj się na komputerze-kliencie.

2. Przejdź do menu Start/[Author ID2: at Tue Jul 17 09:33:00 2001 ]|[Author ID2: at Tue Jul 17 09:33:00 2001 ]Ustawienia/[Author ID2: at Tue Jul 17 09:33:00 2001 ]|[Author ID2: at Tue Jul 17 09:33:00 2001 ]Połączenia sieciowe i telefoniczne (S[Author ID1: at Thu Oct 5 07:20:00 2000 ]Start\|[Author ID2: at Tue Jul 17 09:34:00 2001 ]S[Author ID1: at Thu Oct 5 07:20:00 2000 ]Settings\|[Author ID2: at Tue Jul 17 09:34:00 2001 ]N[Author ID1: at Thu Oct 5 07:20:00 2000 ]Network and d[Author ID1: at Thu Oct 5 07:20:00 2000 ]D[Author ID1: at Thu Oct 5 07:20:00 2000 ]ial-up C[Author ID1: at Thu Oct 5 07:20:00 2000 ]c[Author ID1: at Thu Oct 5 07:20:00 2000 ]onnections) i wybierz polecenie Utwórz Nowe Połączenie (M[Author ID1: at Thu Oct 5 07:20:00 2000 ]Make N[Author ID1: at Thu Oct 5 07:20:00 2000 ]New C[Author ID1: at Thu Oct 5 07:20:00 2000 ]Connection).

3. Uruchomiony zostanie Kreator Połączeń Sieciowych (NN[Author ID1: at Thu Oct 5 07:20:00 2000 ]etwork CC[Author ID1: at Thu Oct 5 07:20:00 2000 ]onnection WW[Author ID1: at Thu Oct 5 07:20:00 2000 ]izard). Naciśnij przycisk Dalej (N[Author ID1: at Thu Oct 5 07:20:00 2000 ]Next).

4. Pojawi się okno dialogowe Typ Połączenia Sieciowego (N[Author ID1: at Thu Oct 5 07:20:00 2000 ]Network C[Author ID1: at Thu Oct 5 07:20:00 2000 ]Connection T[Author ID1: at Thu Oct 5 07:20:00 2000 ]Type); zob.[Author ID1: at Thu Oct 5 07:20:00 2000 ] (patrz[Author ID1: at Thu Oct 5 07:20:00 2000 ] rysunek 11.7)[Author ID1: at Thu Oct 5 07:21:00 2000 ]. Użytkownik mobilny (roaming user) łączący się za pośrednictwem usługodawcy internetowego (ISP) wybierze opcję Połącz z siecią Internet używając połączenia telefonicznego (D[Author ID1: at Thu Oct 5 07:21:00 2000 ]Dial-up to the Internet) i poda niezbędne informacje.

5. Aby skonfigurować stacjonarnego klienta zdalnego,[Author ID1: at Thu Oct 5 07:21:00 2000 ] korzystającego z Wirtualnych Sieci Prywatnych (VPN) bezpośrednio lub, co bardziej prawdopodobne, za pomocą serwer[Author ID1: at Thu Oct 5 07:21:00 2000 ]ar[Author ID1: at Thu Oct 5 07:21:00 2000 ] usługi RRAS na drugim końcu tunelu, wyierz opcję[Author ID1: at Thu Oct 5 07:21:00 2000 ]e[Author ID1: at Thu Oct 5 07:21:00 2000 ] Połącz z siecią prywatną za pośrednictwem Internetu (C[Author ID1: at Thu Oct 5 07:21:00 2000 ]Connect to a private network through the Internet). Naciśnij przycisk [Author ID1: at Thu Oct 5 07:21:00 2000 ]Dalej [Author ID1: at Thu Oct 5 07:21:00 2000 ](Next)[Author ID1: at Thu Oct 5 07:21:00 2000 ]. Po pojawieniu się monitu określ, czy chcesz,[Author ID1: at Thu Oct 5 07:21:00 2000 ] aby system Windows 2000 wybierał automatycznie połączenie początkowe,[Author ID1: at Thu Oct 5 07:22:00 2000 ] a [Author ID1: at Thu Oct 5 07:22:00 2000 ]nstępnie naciśnij przycisk [Author ID1: at Thu Oct 5 07:22:00 2000 ]zaznacz [Author ID1: at Thu Oct 5 07:22:00 2000 ]Dalej [Author ID1: at Thu Oct 5 07:22:00 2000 ](Next)[Author ID1: at Thu Oct 5 07:22:00 2000 ].

6. Podaj nazwę komputera (host name) lub adres IP punktu końcowego tunelu (tunnel endpoint), tzn. serwera RRAS, który obsługuje Wirtualne Sieci Prywatne (VPN-enabled RRAS server).

OSTRZEŻENIE! Jeśli nie [Author ID1: at Thu Oct 5 07:36:00 2000 ]połączenie nie było konfigurowane z obydwu stron przez tą samą osobę, konieczne będzie przekazanie komuś innemu adresu IP lub nazwy komputera (host name) serwera usługi RRAS, co stanowi zagrożenie dla bezpieczeństwa systemu. W takiej sytuacji należy rozważyć zastosowanie usługi NAT, na [Author ID1: at Thu Oct 5 07:37:00 2000 ]p.[Author ID1: at Thu Oct 5 07:37:00 2000 ]rzykład[Author ID1: at Thu Oct 5 07:37:00 2000 ] serwera Proxy. Trzeba jednak pamietać, że zastosowanie protokołu L2TP w IPSec (L2TP over IPSec) może nie działać prawidłowwo w przypadku aplikacji, które wymagają[Author ID1: at Thu Oct 5 07:38:00 2000 ]a[Author ID1: at Thu Oct 5 07:38:00 2000 ] tablic translacji translatora adresów sieciowych (NAT translation tables).

Rysunek 11.7.[Author ID1: at Thu Oct 5 07:37:00 2000 ] Wybór typu połączenia sieciowego.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

7. Jeśli konfigurujesz połączenie dla pojedynczego komputera-klienta,[Author ID1: at Thu Oct 5 07:40:00 2000 ] wybierz opcję[Author ID1: at Thu Oct 5 07:22:00 2000 ]e[Author ID1: at Thu Oct 5 07:22:00 2000 ] Tylko Dla Mnie (OO[Author ID1: at Thu Oct 5 07:40:00 2000 ]nly For Myself). W przeciwnym przypadku wybierz opcję [Author ID1: at Thu Oct 5 07:40:00 2000 ]razie zaznacz [Author ID1: at Thu Oct 5 07:40:00 2000 ]Dla Wszystkich Użytkowników (F[Author ID1: at Thu Oct 5 07:40:00 2000 ]For All Users). W zależności od domyślnych zasad dostę[Author ID1: at Thu Oct 5 06:55:00 2000 ]e[Author ID1: at Thu Oct 5 06:55:00 2000 ]pu zdalnego (remote access policy) w danym serwerze,[Author ID1: at Thu Oct 5 07:40:00 2000 ] może pojawić się pytanie,[Author ID1: at Thu Oct 5 07:40:00 2000 ] czy włączyć udostępnianie połączenia internetowego (Internet connection sharing)?[Author ID1: at Thu Oct 5 07:41:00 2000 ].[Author ID1: at Thu Oct 5 07:41:00 2000 ] Jeśli tak, to przejdź do kroku nr [Author ID1: at Thu Oct 5 07:41:00 2000 ]czynności [Author ID1: at Thu Oct 5 07:41:00 2000 ]8. W przeciwnym razie [Author ID1: at Thu Oct 5 07:41:00 2000 ]Jeśli nie, [Author ID1: at Thu Oct 5 07:41:00 2000 ]naciśnij przycisk [Author ID1: at Thu Oct 5 07:41:00 2000 ]Dalej (Next) [Author ID1: at Thu Oct 5 07:41:00 2000 ]i przejdź bezpośrednio do kroku [Author ID1: at Thu Oct 5 07:41:00 2000 ]czynności [Author ID1: at Thu Oct 5 07:41:00 2000 ]10.

8. Jeśli chcesz,[Author ID1: at Thu Oct 5 07:41:00 2000 ] aby inne komputery w sieci miały dostę do zasobów poprzez dane połączenie, a jest tak w przypadku skonfigurowania usługi RRAS w punkcie końcowym (RRAS endpoint), zaznacz opcję Włącz udostępnianie połączenia internetowego dla tego połączenia (E[Author ID1: at Thu Oct 5 07:41:00 2000 ]Enable Internet c[Author ID1: at Thu Oct 5 07:42:00 2000 ]C[Author ID1: at Thu Oct 5 07:42:00 2000 ]onnection S[Author ID1: at Thu Oct 5 07:42:00 2000 ]s[Author ID1: at Thu Oct 5 07:42:00 2000 ]haring for this connection). Daje to moż[Author ID1: at Thu Oct 5 07:42:00 2000 ]z[Author ID1: at Thu Oct 5 07:42:00 2000 ]liwość włączenia wybierania numerów na żądanie (demand dialing). Naciśnij przycisk Dalej (N[Author ID1: at Thu Oct 5 07:42:00 2000 ]Next).

9. Jeśli włączyłeś udostę[Author ID1: at Thu Oct 5 06:55:00 2000 ]e[Author ID1: at Thu Oct 5 06:55:00 2000 ]pnianie połączenia internetowego (Internet C[Author ID1: at Thu Oct 5 07:45:00 2000 ]c[Author ID1: at Thu Oct 5 07:45:00 2000 ]onnection s[Author ID1: at Thu Oct 5 07:45:00 2000 ]S[Author ID1: at Thu Oct 5 07:45:00 2000 ]haring) pojawi się ostrzeżenie o tym, że możesz stracić możliwość łączenia się z innymi komputerami w sieci, które mają skonfigurowane adresy statyczne. Ostrzeżenie to pojawia się,[Author ID1: at Thu Oct 5 07:45:00 2000 ] ponieważ adres IP może być wybrany z puli adresów statycznych zdalnego serwera usługi RRAS lub za pomocą DHCP. W tym przypadku powinieneś upewnić się, czy komputery te mają wybraną opcję automatycznego uzyskiwania adresów IP. Aby wprowadzić udostę[Author ID1: at Thu Oct 5 06:55:00 2000 ]e[Author ID1: at Thu Oct 5 06:55:00 2000 ]pnianie połączenia internetowego (Internet Connection Sharing)[Author ID1: at Thu Oct 5 07:45:00 2000 ],[Author ID1: at Thu Oct 5 07:45:00 2000 ] naciśnij przycisk Tak (Y[Author ID1: at Thu Oct 5 07:45:00 2000 ]Yes).

10. Podaj nazwę połączenia lub zaakceptuj domyślną, a nastę[Author ID1: at Thu Oct 5 06:53:00 2000 ]e[Author ID1: at Thu Oct 5 06:53:00 2000 ]pnie naciśnij przycisk [Author ID1: at Thu Oct 5 07:45:00 2000 ]Zakończ (F[Author ID1: at Thu Oct 5 07:45:00 2000 ]Finish).

11. Aby podłączyć się do Wirtualnych Sieci Prywatnych (VPNs[Author ID1: at Thu Oct 5 07:45:00 2000 ]) w oknie dialogowym Połącz Wirtualne Połączenia Prywatne (CC[Author ID1: at Thu Oct 5 07:45:00 2000 ]onnect Virtual [Author ID1: at Thu Oct 5 07:46:00 2000 ]Private[Author ID1: at Thu Oct 5 07:46:00 2000 ]N[Author ID1: at Thu Oct 5 07:46:00 2000 ] Connection[Author ID1: at Thu Oct 5 07:46:00 2000 ]) podaj nazwę twojego konta i hasło, a na[Author ID1: at Thu Oct 5 07:46:00 2000 ]ste[Author ID1: at Thu Oct 5 07:46:00 2000 ]ę[Author ID1: at Thu Oct 5 07:46:00 2000 ]pnie kliknij Połącz (C[Author ID1: at Thu Oct 5 07:46:00 2000 ]Connect). Twoje konto musi mieć włączoną opcję zdalnego dostępu. Aby zamknąć okno dialogowe Połączenie Zakończone (C[Author ID1: at Thu Oct 5 07:46:00 2000 ]Connection C[Author ID1: at Thu Oct 5 07:46:00 2000 ]Complete),[Author ID1: at Thu Oct 5 07:46:00 2000 ] naciśnij przycisk [Author ID1: at Thu Oct 5 07:46:00 2000 ]zaznacz [Author ID1: at Thu Oct 5 07:46:00 2000 ]OK.

Organizowanie kont użytkowników usługi Dostęp Zdalny (R[Author ID1: at Thu Oct 5 07:46:00 2000 ]Remote A[Author ID1: at Thu Oct 5 07:46:00 2000 ]Access)

Włączenie uprawnień do wybierania numerów(dial-in permission) dla konta użytkownika odbywa się kolejno dla każdego konta (account-by-account basis). Jednak dobrze jest utworzyć grupy kont, aby można było zastosować zasady grupowe (group policies), na [Author ID1: at Thu Oct 5 07:47:00 2000 ]przykład[Author ID1: at Thu Oct 5 07:47:00 2000 ].[Author ID1: at Thu Oct 5 07:47:00 2000 ] zasady inspekcji (audit policies). Konta, z których korzysta się,[Author ID1: at Thu Oct 5 07:47:00 2000 ] aby uzyskać dostęp zdalny,[Author ID1: at Thu Oct 5 07:47:00 2000 ] umiesczone są[Author ID1: at Thu Oct 5 07:47:00 2000 ]a[Author ID1: at Thu Oct 5 07:47:00 2000 ] w jednej lub kliku grupach, zależnie od tego,[Author ID1: at Thu Oct 5 07:47:00 2000 ] czy istnieją użytkownicy zdalni o różnym zakresie dostę[Author ID1: at Thu Oct 5 06:55:00 2000 ]e[Author ID1: at Thu Oct 5 06:55:00 2000 ]pu do zasobów. Zwykle [Author ID1: at Thu Oct 5 07:47:00 2000 ]Zazwyczaj [Author ID1: at Thu Oct 5 07:47:00 2000 ]umieszcza się taką grupę (lub grupy) w jednostce organizacyjnej (organizational unit[Author ID1: at Thu Oct 5 07:47:00 2000 ]-[Author ID1: at Thu Oct 5 07:47:00 2000 ]OU) i stosuje się do tej [Author ID1: at Thu Oct 5 07:47:00 2000 ]wobec niej [Author ID1: at Thu Oct 5 07:47:00 2000 ]jednostki organizacyjnej [Author ID1: at Thu Oct 5 07:48:00 2000 ]zasady zabezpieczeń (security policies). Jeśli uz[Author ID1: at Thu Oct 5 06:57:00 2000 ]ż[Author ID1: at Thu Oct 5 06:57:00 2000 ]ytkownikami zdalnymi są pracownicy oddziału firmy, mogą oni już znajdować się w jednostce organizacyjnej (OU)[Author ID1: at Thu Oct 5 07:48:00 2000 ].

Ponieżej przedstawiono procedurę organizowania kont uz[Author ID1: at Thu Oct 5 06:57:00 2000 ]ż[Author ID1: at Thu Oct 5 06:57:00 2000 ]ytkowników zdalnych:

1. Zaloguj się jako administrator i uzyskaj dostęp do kontrolera domeny (DC).

2. Z menu Narzędzia administracyjne (A[Author ID1: at Thu Oct 5 07:48:00 2000 ]Administrative t[Author ID1: at Thu Oct 5 07:48:00 2000 ]T[Author ID1: at Thu Oct 5 07:48:00 2000 ]ools) wybierz pozycję[Author ID1: at Thu Oct 5 07:30:00 2000 ]e[Author ID1: at Thu Oct 5 07:30:00 2000 ] Active Directory [Author ID1: at Thu Oct 5 07:48:00 2000 ]U U[Author ID1: at Thu Oct 5 07:48:00 2000 ]żytkownicy i Komputery (Active Directory U[Author ID1: at Thu Oct 5 07:48:00 2000 ]Users and CC[Author ID1: at Thu Oct 5 07:48:00 2000 ]omputers).

3. Prawym klawiszem [Author ID1: at Thu Oct 5 07:48:00 2000 ]przyciskiem [Author ID1: at Thu Oct 5 07:48:00 2000 ]myszki kliknij [Author ID1: at Thu Oct 5 07:48:00 2000 ]zaznacz [Author ID1: at Thu Oct 5 07:48:00 2000 ]domenę lub jednostkę organizacyjną (OU) w drzewie domeny i utwórz nowa jednostke organizacyjną [Author ID1: at Thu Oct 5 07:49:00 2000 ]ę [Author ID1: at Thu Oct 5 07:49:00 2000 ](OU). Nazwij ją Home Workers.

4. Prawym klawiszem [Author ID1: at Thu Oct 5 07:49:00 2000 ]przyciskiem [Author ID1: at Thu Oct 5 07:49:00 2000 ]myszki kliknij [Author ID1: at Thu Oct 5 07:49:00 2000 ]wybierz [Author ID1: at Thu Oct 5 07:49:00 2000 ]nową jednostkę organizacyjną[Author ID1: at Thu Oct 5 07:49:00 2000 ]a (OU) [Author ID1: at Thu Oct 5 07:49:00 2000 ] [Author ID1: at Thu Oct 5 07:49:00 2000 ]i utwórz grupę. Nazwij ją Ordinary Home Workers. Później możesz w danej jednostce organizacyjnej (OU) [Author ID1: at Thu Oct 5 07:49:00 2000 ]dodać inne grupy, na [Author ID1: at Thu Oct 5 07:49:00 2000 ]przykład [Author ID1: at Thu Oct 5 07:49:00 2000 ]. [Author ID1: at Thu Oct 5 07:49:00 2000 ]grupę Administrative Home Workers.

5. Prawym klawiszem [Author ID1: at Thu Oct 5 07:49:00 2000 ]przyciskiem [Author ID1: at Thu Oct 5 07:49:00 2000 ]myszki kliknij nową[Author ID1: at Thu Oct 5 07:50:00 2000 ]a[Author ID1: at Thu Oct 5 07:50:00 2000 ] jedni[Author ID1: at Thu Oct 5 07:50:00 2000 ]ostkę organizacyjną (OU) [Author ID1: at Thu Oct 5 07:50:00 2000 ]i z menu wybierz opcje[Author ID1: at Thu Oct 5 07:22:00 2000 ]ę[Author ID1: at Thu Oct 5 07:22:00 2000 ] Właściwości (P[Author ID1: at Thu Oct 5 07:50:00 2000 ]Properties).

6. W oknie zakładki Zasady Grupowe (Group Policy) utwórz obiekt zasad grupowych (Group Policy Object [Author ID1: at Thu Oct 5 07:50:00 2000 ]-[Author ID1: at Thu Oct 5 07:50:00 2000 ]— [Author ID1: at Thu Oct 5 07:50:00 2000 ]GPO). Edytuj ten obiekt zasad grupowych (GPO),[Author ID1: at Thu Oct 5 07:50:00 2000 ] aby zdefiniować zasady grupowe [Author ID1: at Thu Oct 5 07:50:00 2000 ](Group Policy)[Author ID1: at Thu Oct 5 07:50:00 2000 ], które mają być stosowane do [Author ID1: at Thu Oct 5 07:50:00 2000 ]wobec [Author ID1: at Thu Oct 5 07:50:00 2000 ]telepracowników (home worker).

Rozwiązania pokrewne [Author ID1: at Thu Oct 5 07:50:00 2000 ]: [Author ID1: at Thu Oct 5 07:50:00 2000 ]zobacz na stronie:

Edytowanie obiektu zasad grupowych (Group Policy Object — GPO[Author ID1: at Thu Oct 5 07:50:00 2000 ])

7. Zazm[Author ID1: at Thu Oct 5 07:51:00 2000 ]n[Author ID1: at Thu Oct 5 07:51:00 2000 ]acz wszystkie konta uż[Author ID1: at Thu Oct 5 06:57:00 2000 ]z[Author ID1: at Thu Oct 5 06:57:00 2000 ]ytkowników zdalnych, przenieś je do jednostki organizacyjnej (OU) [Author ID1: at Thu Oct 5 07:51:00 2000 ]Home Workers i umieść w grupie Ordinary Home Workers. Zwróć uwagę, że operacje te można wykonywać jednocześnie dla wielu kont, co przedstawia rysunek 11.8. Jeśli nie ma jeszcze kont uz[Author ID1: at Thu Oct 5 06:57:00 2000 ]ż[Author ID1: at Thu Oct 5 06:57:00 2000 ]ytkowników zdalnych,[Author ID1: at Thu Oct 5 07:51:00 2000 ] to utwórz je w jednostce organizacyjnej (OU) [Author ID1: at Thu Oct 5 07:51:00 2000 ]Home Workers.

8. Prawym klawiszem [Author ID1: at Thu Oct 5 07:51:00 2000 ]przyciskiem [Author ID1: at Thu Oct 5 07:51:00 2000 ]myszki klikaj każde konto i z menu wybieraj opcję Właściwości [Author ID1: at Thu Oct 5 07:51:00 2000 ](Properties)[Author ID1: at Thu Oct 5 07:51:00 2000 ]. Jeśli chcesz umożliwić dostęp zdalny za pomocą połączenia telefonicznego,[Author ID1: at Thu Oct 5 07:51:00 2000 ] to w oknie zakładki telefonowanie (Dial-in) możesz zaznaczyć opcję Zezwalaj Na Dostęp (A[Author ID1: at Thu Oct 5 07:51:00 2000 ]Allow Access). Jeśli ustanowione są zasady dostępu zdalnego (remote access policy), które mogą na [Author ID1: at Thu Oct 5 07:52:00 2000 ]p.[Author ID1: at Thu Oct 5 07:52:00 2000 ]rzykład[Author ID1: at Thu Oct 5 07:52:00 2000 ] ograniczać godziny, w których uz[Author ID1: at Thu Oct 5 06:57:00 2000 ]ż[Author ID1: at Thu Oct 5 06:57:00 2000 ]ytkownik zdalny może logować się lub ograniczać czas połączenia, można zaznaczyć opcję Kontroluj dostęp poprzez zasady dostępu zdalnego (C[Author ID1: at Thu Oct 5 07:52:00 2000 ]Control a[Author ID1: at Thu Oct 5 07:52:00 2000 ]A[Author ID1: at Thu Oct 5 07:52:00 2000 ]ccess through R[Author ID1: at Thu Oct 5 07:52:00 2000 ]r[Author ID1: at Thu Oct 5 07:52:00 2000 ]emote a[Author ID1: at Thu Oct 5 07:52:00 2000 ]A[Author ID1: at Thu Oct 5 07:52:00 2000 ]ccess p[Author ID1: at Thu Oct 5 07:52:00 2000 ]P[Author ID1: at Thu Oct 5 07:52:00 2000 ]olicy). Zasady dostę[Author ID1: at Thu Oct 5 06:55:00 2000 ]e[Author ID1: at Thu Oct 5 06:55:00 2000 ]pu zdalnego (remote access policies) są konfigurowane za pomocą przystawki (snap-in) Ro[Author ID1: at Thu Oct 5 07:52:00 2000 ]uting i dostęp zdalny (R[Author ID1: at Thu Oct 5 07:52:00 2000 ]Routing and r[Author ID1: at Thu Oct 5 07:52:00 2000 ]R[Author ID1: at Thu Oct 5 07:52:00 2000 ]emote a[Author ID1: at Thu Oct 5 07:52:00 2000 ]A[Author ID1: at Thu Oct 5 07:52:00 2000 ]ccess), co opisano w kolejnym podrozdziale.

Rysunek 11.8.[Author ID1: at Thu Oct 5 07:52:00 2000 ] Przenoszenie kilku kont użytkowników.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Tworzenie Zasad Dostępu Zdalnego (Remote Access Policy) dla połączeń VPN ruter-ruter

Jeśli topologia Wirtualnej Sieci Prywatnej (VPN) wymaga połączenia ruter-ruter (zob. [Author ID1: at Thu Oct 5 07:53:00 2000 ]rysunki 11.3 oraz 11.4), to wtedy można ustanowić zasady, które mówią, że w przypadku takiego połączenia będą stosowane określone metody uwierzytelniania i klucz o określonej długości.

Porcedura tworzenia zasad dostę[Author ID1: at Thu Oct 5 06:55:00 2000 ]e[Author ID1: at Thu Oct 5 06:55:00 2000 ]pu zdalnego (remote access policy) jest nastę[Author ID1: at Thu Oct 5 06:53:00 2000 ]e[Author ID1: at Thu Oct 5 06:53:00 2000 ]pująca:

1. Z menu Narzędzia admnistracyjne (A[Author ID1: at Thu Oct 5 07:53:00 2000 ]Administrative t[Author ID1: at Thu Oct 5 07:53:00 2000 ]T[Author ID1: at Thu Oct 5 07:53:00 2000 ]ools) wybierz pozycję Active Directory U[Author ID1: at Thu Oct 5 07:53:00 2000 ]Użytkownicy i Komputery (Active Directory UU[Author ID1: at Thu Oct 5 07:53:00 2000 ]sers and CC[Author ID1: at Thu Oct 5 07:53:00 2000 ]omputers).

2. W kontenerze Komputery[Author ID1: at Thu Oct 5 07:53:00 2000 ] [Author ID1: at Thu Oct 5 07:53:00 2000 ]-->C[Author ID1: at Thu Oct 5 07:54:00 2000 ][Author ID1: at Thu Oct 5 07:54:00 2000 ]([Author ID1: at Thu Oct 5 07:54:00 2000 ]C-->omputers[Author ID1: at Thu Oct 5 07:54:00 2000 ] -->container[Author ID1: at Thu Oct 5 07:54:00 2000 ]--> [Author ID1: at Thu Oct 5 07:54:00 2000 ][Author ID1: at Thu Oct 5 07:54:00 2000 ]([Author ID1: at Thu Oct 5 07:54:00 2000 ]Komputery[Author ID1: at Thu Oct 5 07:53:00 2000 ]) utwórz globalną[Author ID1: at Thu Oct 5 07:54:00 2000 ]a[Author ID1: at Thu Oct 5 07:54:00 2000 ] grupę zabezpieczeń (global security group) pod nazwą VPN-Routers.

3. Dodaj konta ruterów wywołujących (callin routers), które inicjują[Author ID1: at Thu Oct 5 07:54:00 2000 ]a[Author ID1: at Thu Oct 5 07:54:00 2000 ] połączenia VPN ruter-ruter.

4. Z menu Narzędzia administracyjne ([Author ID1: at Thu Oct 5 07:54:00 2000 ]A[Author ID1: at Thu Oct 5 07:33:00 2000 ]dministrative [Author ID1: at Thu Oct 5 07:54:00 2000 ]T[Author ID1: at Thu Oct 5 07:33:00 2000 ]ools) [Author ID1: at Thu Oct 5 07:54:00 2000 ]wybierz pozycję Ro[Author ID1: at Thu Oct 5 07:54:00 2000 ]uting i dostęp zdalny [Author ID1: at Thu Oct 5 07:54:00 2000 ](Routing and Remote Access)[Author ID1: at Thu Oct 5 07:54:00 2000 ].

5. Kliknij dwukrotnie[Author ID1: at Thu Oct 5 07:54:00 2000 ] nazwę komputera-rutera odpowiadającego (answering router). Prawym klawiszem [Author ID1: at Thu Oct 5 07:54:00 2000 ]przyciskiem [Author ID1: at Thu Oct 5 07:54:00 2000 ]myszki kliknij [Author ID1: at Thu Oct 5 07:55:00 2000 ]wybierz [Author ID1: at Thu Oct 5 07:55:00 2000 ]pozycje[Author ID1: at Thu Oct 5 07:30:00 2000 ]ę[Author ID1: at Thu Oct 5 07:30:00 2000 ] Zasady Dostępu Zdalnego (R[Author ID1: at Thu Oct 5 07:55:00 2000 ]Remote A[Author ID1: at Thu Oct 5 07:55:00 2000 ]Access PP[Author ID1: at Thu Oct 5 07:55:00 2000 ]olicies) i wybierz opcję [Author ID1: at Thu Oct 5 07:55:00 2000 ]Nowe Zasady Dostępu Zdalnego (N[Author ID1: at Thu Oct 5 07:55:00 2000 ]New RR[Author ID1: at Thu Oct 5 07:55:00 2000 ]emote A[Author ID1: at Thu Oct 5 07:55:00 2000 ]Access P[Author ID1: at Thu Oct 5 07:55:00 2000 ]Policy).

6. Podaj nazwę zasad, np.[Author ID1: at Thu Oct 5 07:55:00 2000 ]a[Author ID1: at Thu Oct 5 07:55:00 2000 ] przykład [Author ID1: at Thu Oct 5 07:55:00 2000 ]Router-to-Router. Naciśnij przycisk Dalej (N[Author ID1: at Thu Oct 5 07:55:00 2000 ]Next).

7. Naciśnij przycisk Dodaj (A[Author ID1: at Thu Oct 5 07:55:00 2000 ]Add). Kliknij Typ Portu NAS (NAS-[Author ID1: at Thu Oct 5 07:55:00 2000 ] [Author ID1: at Thu Oct 5 07:55:00 2000 ]Port-T[Author ID1: at Thu Oct 5 07:55:00 2000 ] [Author ID1: at Thu Oct 5 07:55:00 2000 ]Type) i ponownie[Author ID1: at Thu Oct 5 07:55:00 2000 ]. Naciśnij przycisk[Author ID1: at Thu Oct 5 07:56:00 2000 ] Dodaj [Author ID1: at Thu Oct 5 07:56:00 2000 ](A[Author ID1: at Thu Oct 5 07:56:00 2000 ]dd)[Author ID1: at Thu Oct 5 07:56:00 2000 ].

8. Zaznacz Virtual (VPN). Naciśnij przycisk Dodaj (Add). Naciśnij przycisk [Author ID1: at Thu Oct 5 07:56:00 2000 ]i [Author ID1: at Thu Oct 5 07:56:00 2000 ]OK.

9. W oknie dialogowym Zasady Dostę[Author ID1: at Thu Oct 5 06:55:00 2000 ]e[Author ID1: at Thu Oct 5 06:55:00 2000 ]pu Zdalnego (Remote Access Policy) naciśnij przycisk [Author ID1: at Thu Oct 5 07:56:00 2000 ]zaznacz [Author ID1: at Thu Oct 5 07:56:00 2000 ]Dodaj [Author ID1: at Thu Oct 5 07:56:00 2000 ](Add)[Author ID1: at Thu Oct 5 07:56:00 2000 ]. Wybierz Grupy Systemu Windows (Windows G[Author ID1: at Thu Oct 5 07:56:00 2000 ]Groups).

10. Naciśnij przycisk Dodaj [Author ID1: at Thu Oct 5 07:56:00 2000 ](Add)[Author ID1: at Thu Oct 5 07:56:00 2000 ]. Pojawi się okno dialogowe Grupy (G[Author ID1: at Thu Oct 5 07:56:00 2000 ]Groups). Naciśnij przycisk [Author ID1: at Thu Oct 5 07:56:00 2000 ]Dodaj [Author ID1: at Thu Oct 5 07:56:00 2000 ](Add)[Author ID1: at Thu Oct 5 07:56:00 2000 ].

11. Wybierz grupę VPN-Routers. Znów n[Author ID1: at Thu Oct 5 07:56:00 2000 ]N[Author ID1: at Thu Oct 5 07:56:00 2000 ]aciś[Author ID1: at Thu Oct 5 07:03:00 2000 ]s[Author ID1: at Thu Oct 5 07:03:00 2000 ]nij przycisk [Author ID1: at Thu Oct 5 07:56:00 2000 ]Dodaj [Author ID1: at Thu Oct 5 07:57:00 2000 ](Add)[Author ID1: at Thu Oct 5 07:57:00 2000 ] i [Author ID1: at Thu Oct 5 07:57:00 2000 ]. Naci[Author ID1: at Thu Oct 5 07:57:00 2000 ]s[Author ID1: at Thu Oct 5 07:03:00 2000 ]nij przycisk [Author ID1: at Thu Oct 5 07:57:00 2000 ]OK. Aby zamknąć okno dialogowe Grupy [Author ID1: at Thu Oct 5 07:57:00 2000 ](Groups) [Author ID1: at Thu Oct 5 07:57:00 2000 ], [Author ID1: at Thu Oct 5 07:57:00 2000 ]naciśnij przycisk [Author ID1: at Thu Oct 5 07:57:00 2000 ]OK.

12. Naciśnij przycisk Dalej [Author ID1: at Thu Oct 5 07:57:00 2000 ](Next)[Author ID1: at Thu Oct 5 07:57:00 2000 ]. Zaznacz opcję Udziel Uprawnień Do Dostępu Zdalnego (G[Author ID1: at Thu Oct 5 07:57:00 2000 ]Grant Remote Access Permission).

13. Naciśnij przycisk Dalej (Next). Naciśnij przycisk [Author ID1: at Thu Oct 5 07:57:00 2000 ]oraz [Author ID1: at Thu Oct 5 07:57:00 2000 ]Edytuj Profil (E[Author ID1: at Thu Oct 5 07:57:00 2000 ]Edit PP[Author ID1: at Thu Oct 5 07:57:00 2000 ]rofile).

14. Określ odpowiednią[Author ID1: at Thu Oct 5 07:57:00 2000 ]a[Author ID1: at Thu Oct 5 07:57:00 2000 ] metodę uwierzytelniania i długość klucza. Naciś[Author ID1: at Thu Oct 5 07:03:00 2000 ]s[Author ID1: at Thu Oct 5 07:03:00 2000 ]nij przycisk OK. Jeśli pojawi się okno odsyłające do pliku pomocy,[Author ID1: at Thu Oct 5 07:57:00 2000 ] zamknij je naciskając przycisk [Author ID1: at Thu Oct 5 07:57:00 2000 ]Nie (N[Author ID1: at Thu Oct 5 07:58:00 2000 ]No).

15. Naciśnij przycisk [Author ID1: at Thu Oct 5 07:58:00 2000 ]Zaznacz [Author ID1: at Thu Oct 5 07:58:00 2000 ]Zakończ (F[Author ID1: at Thu Oct 5 07:58:00 2000 ]Finish).

Wskazówka: Powyższą procedurę można również zastosować do tworzenia oddzielnych zasad dostę[Author ID1: at Thu Oct 5 06:56:00 2000 ]e[Author ID1: at Thu Oct 5 06:55:00 2000 ]pu zdalnego (remote access policies) dla połączeń za pomocą protokołu PPTP i L2TP. W oknie dialogowym Dodaj Zasady Dostę[Author ID1: at Thu Oct 5 06:56:00 2000 ]e[Author ID0: at Thu Nov 30 00:00:00 1899 ]pu Zdalnego (A[Author ID1: at Thu Oct 5 07:58:00 2000 ]Add R[Author ID1: at Thu Oct 5 07:58:00 2000 ]Remote A[Author ID1: at Thu Oct 5 07:58:00 2000 ]Access PP[Author ID1: at Thu Oct 5 07:58:00 2000 ]olicies[Author ID1: at Thu Oct 5 07:58:00 2000 ]y[Author ID1: at Thu Oct 5 07:58:00 2000 ]) wybierz opcję Typ-T[Author ID0: at Thu Nov 30 00:00:00 1899 ] [Author ID1: at Thu Oct 5 07:58:00 2000 ]Tunelu (T[Author ID1: at Thu Oct 5 07:58:00 2000 ]Tunnel-T[Author ID1: at Thu Oct 5 07:58:00 2000 ] [Author ID1: at Thu Oct 5 07:58:00 2000 ]Type). Typ tunelu ustaw, np.[Author ID1: at Thu Oct 5 07:58:00 2000 ] na przykład[Author ID1: at Thu Oct 5 07:58:00 2000 ] na Point-to-Point Tunneling Protocol, udziel uprawnień dostępu zdalnego,[Author ID1: at Thu Oct 5 07:58:00 2000 ] a następnie — [Author ID1: at Thu Oct 5 07:59:00 2000 ]po nacis[Author ID1: at Thu Oct 5 07:03:00 2000 ]ś[Author ID1: at Thu Oct 5 07:03:00 2000 ]nięciu przycisku Edytuj Profil (EE[Author ID1: at Thu Oct 5 07:59:00 2000 ]dit PP[Author ID1: at Thu Oct 5 07:59:00 2000 ]rofile) — [Author ID1: at Thu Oct 5 07:59:00 2000 ]podaj ustawienia uwierzytelniania i szyfrowania.

Włączanie uwierzytelniania wzajemnego

W przypadku dwukierunkowych połączeń inicjowanych dowolny z ruterów może być serwerem VPN lub klientem VPN, w zależ[Author ID1: at Thu Oct 5 08:14:00 2000 ]z[Author ID1: at Thu Oct 5 08:14:00 2000 ]ności od tego, kto zainicjował połączenie (patrz [Author ID1: at Thu Oct 5 07:59:00 2000 ]zob. [Author ID1: at Thu Oct 5 07:59:00 2000 ]rysunek 11.4). Obydwa rutery muszą być skonfigurowane w ten sposób, by mogły inicjować i akceptować połączenia VPN. W przypadku dwukierunkowego inicjowanego połączenia VPN ruter-ruter konieczne jest dodanie kont użytkowników do obydwu ruterów, aby dane uwierzytelniające rutera wywołującego (calling router) mogły być sprawdzone przez ruter odpowiadający (answering router).

Interfejsy łączenia na żądanie (demand-dial interfaces), noszące taką sama nazwę[Author ID1: at Thu Oct 5 07:59:00 2000 ]e[Author ID1: at Thu Oct 5 07:59:00 2000 ] jak konto użytkownika, z którego korzysta ruter wywołujący (calling router)[Author ID1: at Thu Oct 5 08:00:00 2000 ] muszą być w pełni skonfigurowane dla obydwu ruterów, włącznie z podaniem nazwy komputera (host name) lub adresu IP rutera odpowiadającego (answering router) [Author ID1: at Thu Oct 5 08:00:00 2000 ]oraz danymi uwierzytelniającymi konta uz[Author ID1: at Thu Oct 5 06:57:00 2000 ]ż[Author ID1: at Thu Oct 5 06:57:00 2000 ]ytkownika (user account credentials) do uwierzytelniania rutera wywołującego (calling router)[Author ID1: at Thu Oct 5 08:00:00 2000 ].

Poniżej zamieszczono procedurę konfigurowania [Author ID1: at Thu Oct 5 06:58:00 2000 ] [Author ID1: at Thu Oct 5 06:58:00 2000 ]uwierzytelniania wzajemnego dla dwukierunkowego połączenia inicjowanego (two-way initiated connection):

1. Skonfiguruj obydwa rutery jako serwery VPN w sposób opisany wcześniej [Author ID1: at Thu Oct 5 08:00:00 2000 ]powyżej [Author ID1: at Thu Oct 5 08:00:00 2000 ]w niniejszym rozdziale [Author ID1: at Thu Oct 5 08:00:00 2000 ]w podrozdziałach „Instalowanie serwera VPN” i „Konfigurowanie serwera VPN”. Upewnij się, czy ustawienia szyfrowania i uwierzytelniania są jednakowe w obu komputerach.

2. Skonfiguruj obydwa rutery jako klienty VPN, podając ten drugi jako serwer VPN, zgodnie z procedurą opisaną wcześniej w niniejszym rozdziale w podrozdziale[Author ID1: at Thu Oct 5 08:00:00 2000 ]części[Author ID1: at Thu Oct 5 08:00:00 2000 ] „Instalowanie klienta VPN”.

3. Jeśli do ui[Author ID1: at Thu Oct 5 08:01:00 2000 ]wi[Author ID1: at Thu Oct 5 08:01:00 2000 ]erzytelniania na poziomie komputerów korzysta się z certyfiaktów,[Author ID1: at Thu Oct 5 08:01:00 2000 ] to wtedy [Author ID1: at Thu Oct 5 08:01:00 2000 ]dla obydwu ruterów wymagane będą certyfikaty wydane przez jednostkę certyfikującą przedsiebiorstwa (enterprise CA[Author ID1: at Thu Oct 5 08:01:00 2000 ]certificate authority[Author ID1: at Thu Oct 5 08:01:00 2000 ]). Odpowiednią procedurę podano w nastę[Author ID1: at Thu Oct 5 06:53:00 2000 ]e[Author ID1: at Thu Oct 5 06:53:00 2000 ]pnym podrozdziale.

Wskazówka: Jeśli klienty[Author ID1: at Thu Oct 5 08:01:00 2000 ]ic[Author ID1: at Thu Oct 5 08:01:00 2000 ] VPN łączą się za pomocą połączenia telefonicznego z serwerem VPN, pracującym pod kontrolą systemu Windows NT 4, który jest członkiem domeny systemu Windows 2000 w trybie mieszanym, konieczne jest sprawdzenie, czy w domenie włączono uwierzytelnianie usługi RAS systemu Windows NT 4. Aby zobaczyć aktualny status domeny,[Author ID1: at Thu Oct 5 08:01:00 2000 ] użyj polecenia n[Author ID0: at Thu Nov 30 00:00:00 1899 ]N[Author ID1: at Thu Oct 5 08:02:00 2000 ]etsh ras show domain [Author ID1: at Thu Oct 5 08:02:00 2000 ]access. Aby w domenie włączyć uwierzytelnianie serwerów dostępu zdalnego, pracujących pod kontrolą systemu Windows NT 4, użyj polecenia n[Author ID0: at Thu Nov 30 00:00:00 1899 ]N[Author ID1: at Thu Oct 5 08:04:00 2000 ]etsh ras set domain [Author ID1: at Thu Oct 5 08:04:00 2000 ]access.

Automatyczne uzyskiwanie certyfikatu komputera

Stosowanie certyfikatów komputerów do uwierzytelniania klientów VPN i serwerów VPN na poziomie komputerów jest wymagane w przypadku połączeń,[Author ID1: at Thu Oct 5 08:04:00 2000 ] korzystających z protokołu L2TP over [Author ID1: at Thu Oct 5 08:04:00 2000 ]w [Author ID1: at Thu Oct 5 08:04:00 2000 ]IPSec (L2TP over IPSec)[Author ID1: at Thu Oct 5 08:04:00 2000 ]. Aby utworzyć połączenie L2TP-[Author ID1: at Thu Oct 5 08:05:00 2000 ] [Author ID1: at Thu Oct 5 08:05:00 2000 ]over-[Author ID1: at Thu Oct 5 08:05:00 2000 ] [Author ID1: at Thu Oct 5 08:05:00 2000 ]IPSec na komputerze-[Author ID1: at Thu Oct 5 08:05:00 2000 ]-kliencie VPN i komputerze-serwerze VPN muszą zostać zainstalowane certyfikaty komputerów. Można to zrobić na dwa sposoby:

• skonfigurowanie [Author ID1: at Thu Oct 5 08:06:00 2000 ]komputerom w domenie systemu Windows 2000[Author ID1: at Thu Oct 5 08:05:00 2000 ] [Author ID1: at Thu Oct 5 08:06:00 2000 ]S[Author ID1: at Thu Oct 5 08:05:00 2000 ]konfigurowanie [Author ID1: at Thu Oct 5 08:06:00 2000 ]automatycznego przydzielania certyfikatów komputerów komputerom w domenie systemu Windows 2000[Author ID1: at Thu Oct 5 08:05:00 2000 ],[Author ID1: at Thu Oct 5 08:06:00 2000 ].[Author ID1: at Thu Oct 5 08:06:00 2000 ]

• U[Author ID1: at Thu Oct 5 08:06:00 2000 ]u[Author ID1: at Thu Oct 5 08:06:00 2000 ]życie Menedżera Certyfikatów (CC[Author ID1: at Thu Oct 5 08:06:00 2000 ]ertificate M[Author ID1: at Thu Oct 5 08:06:00 2000 ]Manager) do uzyskania certyfikatu komputera.

W przypadku dużej liczby klientów VPN metoda druga, ręczna, może być nużąca i bywa stosowana tylko,[Author ID1: at Thu Oct 5 08:06:00 2000 ] jeśli jednostka certyfikująca przedsię[Author ID1: at Thu Oct 5 08:06:00 2000 ]e[Author ID1: at Thu Oct 5 08:06:00 2000 ]biorstwa (enterprise CA) nie jest dostępna w domenie. Konfigurowanie automatycznych żądań certyfikatów dla komputerów, oprócz konfigurowania jednostki certyfikującej (CA) [Author ID0: at Thu Nov 30 00:00:00 1899 ]i instalowania certyfikatów jednostki certyfikującej [Author ID0: at Thu Nov 30 00:00:00 1899 ](CA certificates), omówiono szczegółowo w rozdziale 7. Skrócony opis zamieszczono poniżej:

Rozwiązania pokrewne [Author ID1: at Thu Oct 5 08:07:00 2000 ]: [Author ID1: at Thu Oct 5 08:07:00 2000 ]zobacz na stronie:

Konfigurowanie automatycznego żądania certyfikatów dla komputerów

1. Edytuj obiekt zasad grupowych (GPO) Domyslne Zasady Domeny (Default Domain Policy).

2. Rozwiń gałąź Konfiguracja Komputera/Ustawienia Systemu Windows/Ustawienia Zabezpieczeń/Zasady Klucza Publicznego (C[Author ID1: at Thu Oct 5 08:07:00 2000 ]Computer C[Author ID1: at Thu Oct 5 08:07:00 2000 ]Configuration/Windows S[Author ID1: at Thu Oct 5 08:07:00 2000 ]Settings/S[Author ID1: at Thu Oct 5 08:07:00 2000 ]Security S[Author ID1: at Thu Oct 5 08:07:00 2000 ]Settings/PP[Author ID1: at Thu Oct 5 08:07:00 2000 ]ublic KK[Author ID1: at Thu Oct 5 08:07:00 2000 ]ey PP[Author ID1: at Thu Oct 5 08:07:00 2000 ]olicies) i prawym klawiszem [Author ID1: at Thu Oct 5 08:08:00 2000 ]przyciskiem [Author ID1: at Thu Oct 5 08:08:00 2000 ]myszki kliknij pozycję Ustawienia Automatycznego Żądania Certyfikatu (AA[Author ID1: at Thu Oct 5 08:08:00 2000 ]utomatic CC[Author ID1: at Thu Oct 5 08:08:00 2000 ]ertificate R[Author ID1: at Thu Oct 5 08:08:00 2000 ]Request S[Author ID1: at Thu Oct 5 08:08:00 2000 ]Settings).

3. Z menu kontekstowego wybierz pozycję Nowy (N[Author ID1: at Thu Oct 5 08:08:00 2000 ]New) i kliknij [Author ID1: at Thu Oct 5 08:08:00 2000 ]zaznacz [Author ID1: at Thu Oct 5 08:08:00 2000 ]Automatyczne Żądanie Certyfikatu [Author ID1: at Thu Oct 5 08:08:00 2000 ](Automatic Certificate Request)[Author ID1: at Thu Oct 5 08:08:00 2000 ]. Uruchomiony zostanie Kreator Instalacji Automatycznego Żądania Certyfikatu (A[Author ID1: at Thu Oct 5 08:08:00 2000 ]Automatic C[Author ID1: at Thu Oct 5 08:08:00 2000 ]Certificate R[Author ID1: at Thu Oct 5 08:08:00 2000 ]Request SS[Author ID1: at Thu Oct 5 08:08:00 2000 ]etup WW[Author ID1: at Thu Oct 5 08:08:00 2000 ]izard). Naciśnij przycisk Dalej (N[Author ID1: at Thu Oct 5 08:08:00 2000 ]Next).

4. Wybierz szablon certyfikatu (certificate template) Komputer (C[Author ID1: at Thu Oct 5 08:08:00 2000 ]Computer) i naciśnij przycisk [Author ID1: at Thu Oct 5 08:08:00 2000 ]Dalej [Author ID1: at Thu Oct 5 08:08:00 2000 ](Next)[Author ID1: at Thu Oct 5 08:08:00 2000 ].

5. Wybierz jednostkę certyfikującą przedsiębiorstwa (enterprise CA) — zazwyczaj[Author ID1: at Thu Oct 5 08:09:00 2000 ](zwykle[Author ID1: at Thu Oct 5 08:09:00 2000 ] na liście będzie [Author ID1: at Thu Oct 5 08:09:00 2000 ]jest [Author ID1: at Thu Oct 5 08:09:00 2000 ]tylko jedna —[Author ID1: at Thu Oct 5 08:09:00 2000 ])[Author ID1: at Thu Oct 5 08:09:00 2000 ] i naciśnij przycisk [Author ID1: at Thu Oct 5 08:09:00 2000 ]Dalej [Author ID1: at Thu Oct 5 08:09:00 2000 ](Next)[Author ID1: at Thu Oct 5 08:09:00 2000 ].

6. Aby utworzyć automatyczne żądanie certyfikatu,[Author ID1: at Thu Oct 5 08:09:00 2000 ] wybierz[Author ID1: at Thu Oct 5 08:09:00 2000 ]naciśnij przycisk[Author ID1: at Thu Oct 5 08:09:00 2000 ] Zakończ (FF[Author ID1: at Thu Oct 5 08:09:00 2000 ]inish). Aby edytować obiekt zasad grupowych (GPO) Domyslne Zasady Domeny [Author ID1: at Thu Oct 5 08:10:00 2000 ]([Author ID1: at Thu Oct 5 08:10:00 2000 ], [Author ID1: at Thu Oct 5 08:09:00 2000 ]Default Domain Policy) [Author ID1: at Thu Oct 5 08:09:00 2000 ]naciśnij przycisk OK.

7. Aby utworzyć certyfikat komputera dla serwera lub klienta VPN,[Author ID1: at Thu Oct 5 08:10:00 2000 ] uruchom ponownie komputer lub w wierszu poleceń systemu Windows 2000 wpisz [Author ID1: at Thu Oct 5 08:10:00 2000 ]:[Author ID1: at Thu Oct 5 08:10:00 2000 ]

secedit /refreshpolicy machine_policy[Author ID1: at Thu Oct 5 08:10:00 2000 ].[Author ID1: at Thu Oct 5 08:10:00 2000 ]

Rozwiązania pokrewne [Author ID1: at Thu Oct 5 08:10:00 2000 ]: [Author ID1: at Thu Oct 5 08:10:00 2000 ]zobacz na stronie:

Konfigurowanie jednostki certyfikującej (Certification Authority)

Instalowanie certyfikatów jedno[Author ID1: at Thu Oct 5 08:10:00 2000 ]so[Author ID1: at Thu Oct 5 08:10:00 2000 ]tki certyfikującej (CA certificates)

Zastosowanie polecenia s[Author ID1: at Thu Oct 5 08:11:00 2000 ]S[Author ID0: at Thu Nov 30 00:00:00 1899 ]ecedit

Dodawanie portów L2TP i PPTP

Domyślnie dla przesyła[Author ID1: at Thu Oct 5 08:11:00 2000 ]ą[Author ID1: at Thu Oct 5 08:11:00 2000 ]nia danych za pomocą[Author ID1: at Thu Oct 5 05:06:00 2000 ]a[Author ID1: at Thu Oct 5 05:06:00 2000 ] protokołu L2TP lub PPTP włączonych jest 128 portów. Jeśli jest więcej niż 128 klientów VPN, konieczna jest większa liczba portów.

Poniż[Author ID1: at Thu Oct 5 08:17:00 2000 ]z[Author ID1: at Thu Oct 5 08:17:00 2000 ]ej zamieszczono procedurę[Author ID1: at Thu Oct 5 08:11:00 2000 ]e[Author ID1: at Thu Oct 5 08:11:00 2000 ] dodawania portów protokołów PPTP lub L2TP:

1. Zaloguj się do serwera VPN jako administrator.

2. Z menu Narzędzia administracyjne (A[Author ID1: at Thu Oct 5 08:13:00 2000 ]Administrative T[Author ID1: at Thu Oct 5 08:13:00 2000 ]t[Author ID1: at Thu Oct 5 08:13:00 2000 ]ools) wybierz pozycję Ro[Author ID1: at Thu Oct 5 08:13:00 2000 ]uting i Dostę[Author ID1: at Thu Oct 5 06:56:00 2000 ]e[Author ID1: at Thu Oct 5 06:56:00 2000 ]p Zdalny (R[Author ID1: at Thu Oct 5 08:13:00 2000 ]Routing And RR[Author ID1: at Thu Oct 5 08:13:00 2000 ]emote A[Author ID1: at Thu Oct 5 08:13:00 2000 ]Access).

3. Rozwiń gałąź N[Author ID1: at Thu Oct 5 08:13:00 2000 ]n[Author ID1: at Thu Oct 5 08:13:00 2000 ]azwa Serwera, prawym klawiszem [Author ID1: at Thu Oct 5 08:13:00 2000 ]przyciskiem [Author ID1: at Thu Oct 5 08:13:00 2000 ]myszki kliknij [Author ID1: at Thu Oct 5 08:13:00 2000 ]zaznacz [Author ID1: at Thu Oct 5 08:13:00 2000 ]pozycję Porty (PP[Author ID1: at Thu Oct 5 08:13:00 2000 ]orts) i z menu wybierz pozycję [Author ID1: at Thu Oct 5 08:13:00 2000 ]Właściwości (P[Author ID1: at Thu Oct 5 08:13:00 2000 ]Properties).

4. W zalez[Author ID1: at Thu Oct 5 08:13:00 2000 ]ż[Author ID1: at Thu Oct 5 08:13:00 2000 ]ności od stosowanego protokołu wybierz opcję WAN Miniport (PPTP) lub WAN Miniport (L2TP). Naciśnij przycisk Konfiguruj (C[Author ID1: at Thu Oct 5 08:15:00 2000 ]Configure).

5. W polu Maksymalna Liczba Portów (M[Author ID1: at Thu Oct 5 08:15:00 2000 ]Maximum Ports) wpisz liczbę portów (maksymalnie do 30 000) i naciśnij przycisk OK.

6. Naciśnij przycisk [Author ID1: at Thu Oct 5 08:15:00 2000 ]OK.[Author ID1: at Thu Oct 5 08:15:00 2000 ] i[Author ID1: at Thu Oct 5 08:15:00 2000 ] z[Author ID1: at Thu Oct 5 08:15:00 2000 ]Z[Author ID1: at Thu Oct 5 08:15:00 2000 ]amknij przystawkę (snap-in) konsoli MMC.

Konfigurowanie serwera usługi RADIUS

Serwer usługi RADIUS korzysta z usługi uwierzytelnienia internetowego (Internet Authentication Service [Author ID1: at Thu Oct 5 08:15:00 2000 ]-[Author ID1: at Thu Oct 5 08:15:00 2000 ]— [Author ID1: at Thu Oct 5 08:15:00 2000 ]IAS),[Author ID1: at Thu Oct 5 08:15:00 2000 ] aby zapewnić uwierzytelnianie i rozliczanie (accounting support) w sieciach, w których występuje wiele serwerów RRAS i VPN. Usługa RADIUS może być stosowana nawet w sieciach rozległych (WAN) i może być [Author ID1: at Thu Oct 5 08:16:00 2000 ]zaimplementowana w systemie Windows 2000 Advanced Server, na którym także musi być uruchomiona usługa IIS. W niniejszym podrozdziale krótko [Author ID1: at Thu Oct 5 08:16:00 2000 ]omówiono krótko [Author ID1: at Thu Oct 5 08:16:00 2000 ]instalowanie i konfigurowanie serwera usługi RADIUS. Pełne omówienie tego zagadnienia zajęłoby [Author ID1: at Thu Oct 5 08:16:00 2000 ]stworzyłoby [Author ID1: at Thu Oct 5 08:16:00 2000 ]osobną książkę.

Poniz[Author ID1: at Thu Oct 5 08:16:00 2000 ]ż[Author ID1: at Thu Oct 5 08:16:00 2000 ]ej zamieszczono procedurę instalowania serwera usługi RADIUS:

1. Zaloguj się do serwera IIS w domenie jako administrator.

2. Zainstaluj usługę IAS za pomocą polecenia Dodaj/Usuń programy (AA[Author ID1: at Thu Oct 5 08:17:00 2000 ]dd/R[Author ID1: at Thu Oct 5 08:17:00 2000 ]Remove P[Author ID1: at Thu Oct 5 08:17:00 2000 ]p[Author ID1: at Thu Oct 5 08:17:00 2000 ]rograms) znajdującego się w Panelu Sterowania (C[Author ID1: at Thu Oct 5 08:17:00 2000 ]Control PP[Author ID1: at Thu Oct 5 08:17:00 2000 ]anel), o ile nie została wcześniej zainstalowana. Zwróć uwagę, że usługa IAS jest składnikiem Usług Sieciowych (N[Author ID1: at Thu Oct 5 08:17:00 2000 ]Networking SS[Author ID1: at Thu Oct 5 08:18:00 2000 ]ervices).

3. Z menu Narzędzia administracyjne (A[Author ID1: at Thu Oct 5 08:18:00 2000 ]Administrative t[Author ID1: at Thu Oct 5 08:18:00 2000 ]T[Author ID1: at Thu Oct 5 08:18:00 2000 ]ools) wybierz pozycję Usługa Uwierzytelniania Internetowego (Internet Authentication [Author ID1: at Thu Oct 5 08:18:00 2000 ]Service[Author ID1: at Thu Oct 5 08:18:00 2000 ]).

4. Prawym klawiszem [Author ID1: at Thu Oct 5 08:18:00 2000 ]przyciskiem [Author ID1: at Thu Oct 5 08:18:00 2000 ]myszki kliknij usługę Usługa Uwierzytelniania Internetowego [Author ID1: at Thu Oct 5 08:18:00 2000 ](Internet Authentication Service)[Author ID1: at Thu Oct 5 08:18:00 2000 ] i z menu wybierz pozycję [Author ID1: at Thu Oct 5 08:18:00 2000 ]Właściwości (PP[Author ID1: at Thu Oct 5 08:18:00 2000 ]roperties).

5. W oknie zakładki Usługa (SS[Author ID1: at Thu Oct 5 08:18:00 2000 ]ervice) wybierz [Author ID1: at Thu Oct 5 08:18:00 2000 ]zaznacz [Author ID1: at Thu Oct 5 08:18:00 2000 ]obydwie opcje dziennika zdarzeń.

6. W oknie zakładki RADIUS określ porty UDP uwierzytelniania i obsługi kont usługi RADIUS. [Author ID1: at Thu Oct 5 08:18:00 2000 ]

7. Jeśli nazwy obszarów (realm names) stosowane u usługodawców internetowych (ISPs) do uzyskania dostę[Author ID1: at Thu Oct 5 06:56:00 2000 ]e[Author ID1: at Thu Oct 5 06:56:00 2000 ]pu do sieci przedsiebiorstwa różnią się od tych, które są konieczne do uzyskania dostę[Author ID1: at Thu Oct 5 06:56:00 2000 ]e[Author ID1: at Thu Oct 5 06:56:00 2000 ]pu do domen przedsiebiorstwa (corporate domains), w oknie zakładki Obszary (R[Author ID1: at Thu Oct 5 08:19:00 2000 ]Realms) określ reguły zamiany tekstu (text replacement rules) dla manipulowania przy nazwach obszarów (realm names)[Author ID1: at Thu Oct 5 08:19:00 2000 ].

8. Naciśnij przycisk OK. W drzewie konsoli prawym klawiszem [Author ID1: at Thu Oct 5 08:19:00 2000 ]przyciskiem [Author ID1: at Thu Oct 5 08:19:00 2000 ]myszki klinij [Author ID1: at Thu Oct 5 08:19:00 2000 ]wybierz [Author ID1: at Thu Oct 5 08:19:00 2000 ]pozycję Klienty (C[Author ID1: at Thu Oct 5 08:19:00 2000 ]Clients).[Author ID1: at Thu Oct 5 08:19:00 2000 ] Wybierz [Author ID1: at Thu Oct 5 08:19:00 2000 ]i [Author ID1: at Thu Oct 5 08:19:00 2000 ]opcję Nowy Klient (NN[Author ID1: at Thu Oct 5 08:19:00 2000 ]ew C[Author ID1: at Thu Oct 5 08:19:00 2000 ]Client).

9. Postępuj zgodnie z komunikatami wyświetlanymi przez system i podaj informacje o każdym z klientów usługi RADIUS.

Wskazówka: Jeśli dany serwer usługi RADIUS jest osiągalny tylko za pomocą[Author ID1: at Thu Oct 5 05:06:00 2000 ]a[Author ID1: at Thu Oct 5 05:06:00 2000 ] interfejsu internetowego,[Author ID1: at Thu Oct 5 08:19:00 2000 ] dodaj filtr wejściowy i filtr wyjściowy do interfejsu internetowego dla portu UDP 1812 (lub — [Author ID1: at Thu Oct 5 08:20:00 2000 ]w przypadku starszej wersji usługi RADIUS — [Author ID1: at Thu Oct 5 08:20:00 2000 ]portu[Author ID1: at Thu Oct 5 08:20:00 2000 ] UDP 1645) dla uwierzytelniania usługi RADIUS. Dla obsługi kont usługi RADIUS (RADIUS accounting) dodaj filtr wejściowy lub wyjściowy do interfejsu internetowego dla portu UDP 1813 (lub portu[Author ID1: at Thu Oct 5 08:20:00 2000 ] UDP 1646 — [Author ID1: at Thu Oct 5 08:20:00 2000 ]w przypadku starszych wersji serwerów RADIUS).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

[Author ID1: at Thu Oct 5 04:42:00 2000 ]

.[Author ID1: at Thu Oct 5 08:20:00 2000 ]

33 Część I ♦ Podstawy obsługi systemu WhizBang (Nagłówek strony)

28 T:\Paweł\5 po wstawieniu rysunków\r-11.05.doc

---