2. Серверы терминалов;

Это наиболее удобный и распространенный способ доступа к головному офису. В офисе устанавливается специальный сервер, рассчитанный на одновременную работу нескольких десятков пользователей. Установив на свой компьютер небольшую и простую в настройке программу, пользователи, находящиеся за пределами офиса, подключаются к серверу, получая в свое распоряжение рабочий стол и все программы и документы, как если бы они работали за своим компьютером в офисе. Пользователь получает полноценную рабочую среду, включая все программы и базы данных, доступные в офисе, при этом ему становятся доступными принтеры, расположенные в месте его подключения. Скорость работы компьютера удаленного сотрудника не отличается от скорости компьютеров сотрудников офиса, а требования к пропускной способности интернет-подключения – минимальны.

3. VPN-подключения;

VPN-подключение – это защищенный туннель, проложенный между компьютером сотрудника и головным офисом. Туннель создает соединение, которое предполагает не только доступ к серверу терминалов, но и дает возможность использовать все программы и оборудование, как если бы сотрудник находился в офисе. По сравнению с терминальным доступом VPN-туннель требует более сложной настройки и предъявляет большие требования к скорости интернет-подключения. Это оправданно, когда сотрудник работает со специфическим программным обеспечением, которое не может быть установлено на сервер терминалов. VPN-подключения возможны не только для одного сотрудника, но и для целых офисов. Для организации VPN-подключений достаточно наличия сервера интернет-доступа.

Очевидно – никакая компания не будет предоставлять все свои сетевые ресурсы в сеть общего пользования, но в этом нет нужды: при помощи технологии VPN и туннелирования можно обойти указанную проблему, используя глобальную сеть как средство доставки и передавая по ней шифрованную информацию.

5 Настройка необходимых компонентов для обеспечения подключения по VPN

Защита данных при их передаче означает предотвращение несанкционированного доступа к данным в процессе обмена информацией между клиентом и сервером или между серверами. В дополнение к физической и сетевой защите, реализация безопасности на транспортном уровне является еще одним уровнем защиты, важным для проектирования и

создания защищенной сетевой среды.

Перечислим основные компоненты для обеспечения подключения обособленных подразделений:

1. 2 Windows Server 2012 (один выступает в качестве VPN сервера);

2. компьютеры, с которых будет осуществляться удаленный доступ.

5.1 Описание используемого Windows Server 2012

Windows Server 2012 R2 — операционная система нового поколения, которая может быть основой инфраструктуры как для компаний малого масштаба с несколькими серверами, так и для крупных предприятий с сотнями и тысячами традиционных аппаратных и виртуальных серверов.

Операционная система Windows Server 2012 R2 поддерживает до 64 процессоров и 1 ТБ памяти для гостевых ОС Hyper-V, а также виртуальные жесткие диски VHDX емкостью до 64 ТБ. Мощные функции обеспечения доступности защищают от перерывов в работе. Автоматическая защита и восстановление обеспечивают непрерывность бизнеса локально и в облаке без лишних затрат, позволяют улучшить соглашения об уровне обслуживания для рабочих нагрузок и снизить риск простоев.

VPN - сервер имеет два сетевых интерфейса. Условно интерфейсы обозначены — Internal и External. Интерфейс Internal будет смотреть в локальную сеть (либо в DMZ) и настроен следующим образом:

Рисунок 6– Настройка интерфейса Internal

Шлюз по умолчанию на интерфейсе LAN не указываем. Интерфейс External будет направлен в Интернет.

Рисунок 7 – Настройка интерфейса External

5.2 Настройка ролей и компонентов Windows Server 2012

Каталог (справочник) может хранить различную информацию, которая относится к пользователям, группам, компьютерам, сетевым принтерам, общим файловым ресурсам. Каталог хранит также информацию о самом объекте, или его свойства. Например, атрибутами, хранимыми в каталоге о пользователе, может быть имя его руководителя, номер телефона, адрес, имя для входа в систему, пароль, группы, в которые он входит, и т.д. Для того чтобы сделать хранилище каталога полезным для пользователей, должны существовать службы, которые будут взаимодействовать с каталогом. Например, можно использовать каталог как хранилище информации, по которой можно аутентифицировать пользователя, или как место, куда можно послать запрос для того, чтобы найти информацию об объекте.

Active Directory отвечает не только за создание и организацию этих небольших объектов, но также и за большие объекты, такие как домены, OU (организационные подразделения) и сайты.

Об основных терминах, используемых в контексте службы каталогов Active Directory, читайте ниже.

Служба каталогов Active Directory (сокращенно — AD) обеспечивает эффективную работу сложной корпоративной среды, предоставляя следующие возможности:

1. единая регистрация в сети;

Пользователи могут регистрироваться в сети с одним именем и паролем и получать при этом доступ ко всем сетевым ресурсам и службам (службы сетевой инфраструктуры, службы файлов и печати, серверы приложений и баз данных и т. д.);

2. безопасность информации;

Средства аутентификации и управления доступом к ресурсам, встроенные в службу Active Directory, обеспечивают централизованную защиту сети;

3. централизованное управление.

Администраторы могут централизованно управлять всеми корпоративными ресурсами;

4. администрирование с использованием групповых политик.

При загрузке компьютера или регистрации пользователя в системе выполняются требования групповых политик; их настройки хранятся в объектах групповых политик (GPO) и применяются ко всем учетным записям пользователей и компьютеров, расположенных в сайтах, доменах или организационных подразделениях;

5. интеграция с DNS;

Функционирование служб каталогов полностью зависит от работы службы DNS. В свою очередь серверы DNS могут хранить информацию о зонах в базе данных Active Directory;

6. расширяемость каталога;

Администраторы могут добавлять в схему каталога новые классы объектов или добавлять новые атрибуты к существующим классам;

7. масштабируемость;

Служба Active Directory может охватывать как один домен, так и множество доменов, объединенных в дерево доменов, а из нескольких деревьев доменов может быть построен лес;

8. репликация информации;

В службе Active Directory используется репликация служебной информации в схеме со многими ведущими ( multi-master ), что позволяет модифицировать БД Active Directory на любом контроллере домена. Наличие в домене нескольких контроллеров обеспечивает отказоустойчивость и возможность распределения сетевой нагрузки;

9. гибкость запросов к каталогу;

БД Active Directory может использоваться для быстрого поиска любого объекта AD, используя его свойства (например, имя пользователя или адрес его электронной почты, тип принтера или его местоположение и т. п.);

10. стандартные интерфейсы программирования;

Для разработчиков программного обеспечения служба каталогов предоставляет доступ ко всем возможностям (средствам) каталога и поддерживает принятые стандарты и интерфейсы программирования (API).

В Active Directory может быть создан широкий круг различных объектов. Объект представляет собой уникальную сущность внутри Каталога и обычно обладает многими атрибутами, которые помогают описывать и распознавать его. Учетная запись пользователя является примером объекта. Этот тип объекта может иметь множество атрибутов, таких как имя, фамилия, пароль, номер телефона, адрес и многие другие. Таким же образом общий принтер тоже может быть объектом в Active Directory и его атрибутами являются его имя, местоположение и т.д. Атрибуты объекта не только помогают определить объект, но также позволяют вам искать объекты внутри каталога.[7]

При подключении к корпоративной сети и аутентификации в домене сотрудники используют свои логин/пароль, определенные в Active Directory на Windows Server.

Все необходимые настройки будут произведены на тестовом сервере.

Для начала обходимо добавить роли и компоненты, произвести выбор ролей сервера. Рассмотрим процесс добавления ролей на примере «Доменные службы Active Directory».

AD DS хранят сведения об объектах сети и делают их доступными ее пользователям и администраторам. С помощью контроллеров домена доменные службы Active Directory предоставляют пользователям доступ к разрешенным ресурсам в сети на основе единого входа в систему.

В меню «Управление» необходимо перейти по «Добавить роли и компоненты». Появится мастер добавления ролей и компонентов.

Рисунок 8 – Окно мастера добавления ролей и компонентов

В окне «Тип установки» отмечаем пункт «Установка ролей и компонентов». Затем выбираем сервер T2RU-Server2012, в окне «Роли сервера» выбираем «Доменные службы Active Directory». «Мастер установки ролей» предупредит, что для установки роли нужно установить дополнительно компоненты.

Рисунок 9 – Выбор роли «Доменные службы Active Directory»

На этапе добавления компонентов все значения остаются по умолчанию.

Рисунок 10 – Добавление компонентов

Для того чтобы начать установку выбранной роли, нажимаем на кнопку «Установить». Начнется установка выбранной роли и необходимых компонентов.

Рисунок 11 – Установка роли и компонентов

Далее необходимо повысить роль сервера до уровня контроллера домена. В открывшемся окне выбираем пункт «Добавить новый лес» и в пустом поле указываем имя для корневого домена.

Рисунок 12 – Назначение имени корневого домена corp.T2RU.ru

На следующем шаге определяется функциональный уровень нового леса и корневого домена. Так как планируется использовать сервера на базе Windows Server 2012 R2, то нет необходимости менять функциональный уровень леса и корневого домена. Вводим пароль для DSRM (Directory Service Restore Mode – режим восстановления службы каталога). На данном этапе мастер предупредит, что делегирование для этого DNS-сервера не может быть создано. Далее на выбор изменяем NetBIOS имя которое было присвоено домену или оставляем его по умолчанию.

Рисунок 13 – Настройка параметров контроллера домена

Теперь можно изменить пути к каталогам базы данных AD DS, файлам журнала и папке SYSVOL.

Рисунок 14 – Пути к каталогам базы данных AD DS

Если все настройки были выполнены верно, то отобразится уведомление о том, что можно запустить повышение роли сервера до уровня контроллера домена.

Рисунок 15 - Повышение роли сервера до уровня контроллера домена

Для управления пользователями, группами и другими объектами каталога Active Directory можно использовать Active Directory – пользователи и компьютеры.

По аналогии проводим добавление всех необходимых ролей:

1. DNS - сервер обеспечивает разрешение имен для сетей TCP/IP; Для простоты управления DNS – сервером лучше устанавливать его на том же сервере, что и доменные службы Active Directory;

2. DHCP – сервер позволяет централизовано настраивать временные IP-адреса и связанные с ними данные, предоставлять их клиентским компьютерам, а также управлять ими.

Рисунок 16 – Диапазон адресов, выделяемых DHCP

5.3 Настройка Службы сертификатов Active Directory

Цифровые сертификаты позволяют использовать шифрование на уровне приложений (SSL/TLS) для защиты веб-страниц, электронной почты, служб терминалов и т.п., регистрацию в домене при помощи смарт-карт, аутентификацию пользователей VPN, шифрование данных на жестком диске, а также в ряде случаев обойтись без использования паролей.

Для создания центра сертификации нужен сервер, на базе Windows Server, который может быть как выделенным, так и объединять роль центра сертификации с другими ролями. Следует помнить, что после развертывания центра сертификации нельзя изменить имя компьютера и его принадлежность к домену.

Центр сертификации (ЦС) может быть двух типов: ЦС предприятия и изолированный (автономный) ЦС, рассмотрим их отличительные особенности:

ЦС предприятия:

1. требует наличия ActiveDirectory;

2. автоматическое подтверждение сертификатов;

3. автоматическое развертывание сертификатов;

4. возможность запроса сертификатов через Web-интерфейс, мастер запросов и автоматическое развертывание.

Изолированный (автономный) ЦС:

1. не требует наличия ActiveDirectory;

2. ручное подтверждение сертификатов;

3. отсутствие возможности автоматического развертывания;

4. запрос сертификатов только через Web-интерфейс.

После того, как все компоненты будут установлены, нужно настроить службу сертификатов Active Directory:

1. в появившемся окне «Службы ролей» выбираем «Центр сертификации»;

2. для выдачи сертификатов будут использоваться доменные службы Active Directory, при выборе варианта установки центра сертификации, нужно выбрать «ЦС предприятия»;

3. для создания сертификатов и выдачи их клиентам, центр сертификации должен иметь закрытый ключ, поэтому нужно выбрать пункт «Создать новый закрытый ключ»;

4. для подписания сертификатов, которые будут выдавать центр сертификации, необходимо выбрать хэш - алгоритм например SHA256;

5. после этого указываем дату окончания срока действия сертификата и задаем расположение баз данных сертификатов.

Рисунок 17 – Просмотр параметров установки службы сертификатов

После этого нужно сгенерировать сертификат корневого центра сертификации, который будет экспортирован на VPN - сервер и рабочие машины пользователей.

Необходимо в консоли, после открытия файла сделать запрос сертификата. После обработки запроса центром сертификации будет выдан сертификат.

Рисунок 18 – Сертификат корневого центра сертификации

5.4 Установка роли Remote Access на VPN - сервере

Выбираем «Управление», «Добавить роли и компоненты». В мастере добавления ролей определяем тип установки на основе ролей – «Установка ролей и компонентов». На шаге выбора ролей включаем роль «Удаленный доступ». На шаге выбора служб включаемой роли выберем службу Direct Access and VPN (RAS), откроется окно добавления дополнительных компонентов, связанных с службой. Роль Web Server Role (IIS) будет при этом добавлена в мастер добавления ролей. Соответствующий появившийся шаг мастера, Web Server Role (IIS) и зависимые опции Role Services, пропускаем с предложенными по умолчанию настройками и запускаем процесс установки, по окончании которого будет доступна ссылка на мастер первоначальной настройки служб.

Так как настройка DirectAccess на этом сервере не нужна, в окне мастера выбираем вариант конфигурирования только VPN