Что такое подключение vpn с ad
Перейти к содержимому

Что такое подключение vpn с ad

Подключение филиала в VPN

После включения в VPN предприятия очередного филиала сделать его полноценным: аутентификация в домене, автоустановка обновлений 1С и прочая полноценная работа в локальной сети.

— Настройка маршрутизатора
— Установка физического сервера, т.е. железа для серверов
— На гипервизоре устанавливаем два сервера Windows Server 2012:
— DC: vCPU = 2, ОЗУ = 2 Гб, HDD = 32…40 Гб
— FS: vCPU = 2, ОЗУ = 8 Гб, HDD = 300 Гб (40 + остальное)
— Добавляем сайт в домен
— Поднимаем DC
— Добавляем узел DFS

Настройка маршрутизатора

Выбираем для нового сайта филиала подсеть 10.245.14.0/24.

Адреса пусть Киска выдает пока из небольшого диапазона x.x.x.64…x.x.x.127.

DNS: x.x.x.2 и основной ДНС головного офиса.

Потом на контроллере поднимем DHCP: x.x.x.128…x.x.x.191 (чтобы не пересекались).

Начало и конец диапазона оставим для статики.

Шлюз (внутренний Киски): x.x.x.1
DC: x.x.x.2
Файловый сервер: x.x.x.3
ESXi: x.x.x.10
Принтер: x.x.x.201
МФУ: x.x.x.202

Добавляем сайт в домен

На действующем DC открываем консоль “Сайты и службы”, создаем новый сайт “ESSR”

DC-Ris01

В этой же консоли создаем новаую подсеть “10.245.14.0/24”, одновременно связывая её с новым сайтом

DC-Ris02

Поднимаем DC

Сразу задаем статический адрес и переименовываем сервер таким образом, чтобы эти параметры (Имя и IP) уже НЕ менять после установки DC.

Важный момент, которым часто пренебрегают — установка обновлений на ОС. После установки ОС и перед эксплуатацией сервера нужно установить обновления.

Нынче DCPROMO не в моде. Установка контроллера домена выполняется в 2 этапа:
— Установка на сервер роли AD и
— Повышение роли сервера до контроллера

1 этап. Диспетчер серверов — Локальный сервер — Управление — Добавить роли и компоненты

DC-Ris03

Далее, Далее, Далее

На странице Выбора ролей сервера отмечаем “Доменные службы Active Directory”

DC-Ris04

DC-Ris041

и кнопкой “Добавить компоненты” соглашаемся с установкой необходимых сопутствующих компонентов. Далее. На экране выбора компонентов жмем Далее. Далее. Установить. Закрыть.

2 этап. После завершения первого этапа появляется уведомление (желтый треугольник с восклицательным знаком).

DC-Ris05

Нажимаем на него.

DC-Ris06

В верхнем уведомлении щелкаем ссылку “Повысить роль этого сервера до уровня контроллера…”

В мастере настройки доменных служб оставляем переключатель в режиме добавления контроллера в существующий домен, проверяем имя домена, учетную запись, от имени которой запускается процесс и нажимаем Далее.

Если на этом шаге еще не создана подсеть для этого сайта, то будет выдано сообщение от ошибке.

“ОШИБКА: Мастер не может получить доступ к списку доменов леса.”

DC-Ris07

Так что, если пропустили создание сайта и подсети, то создаем сайт, подсеть и все заработает.

На следующей странице мастера вводим 2 раза пароль для режима восстановления. Далее. Далее, Далее, Далее.

Здесь можно сохранить в текстовый файл сценарий для PowerShell, с помощью которого можно было бы сделать то же самое без мастера. (Скажем, нужно много контроллеров развернуть. Подредактировал немного сценарий, и запустил по-быстрому.) Жмем Далее.

Мастер выполняет проверку, выдает замечания и предупреждения. В этом окне нас предупреждают, что с настройками по умолчанию к контроллеру домена под управлением Windows Server 2012 невозможно подключиться с ПК под управлением старых небезопасных ОС.

DC-Ris08

Нажимаем кнопку “Установить”. Закрыть.

Теперь у нас в диспетчере серверов появился красный флажок. Щелкаем по нему и видим ссылку “Повысить роль этого сервера до уровня контроллера”

DC-Ris09

Даже, если не щелкать по ней сервер все равно перезагрузится.

После перезагрузки нового DC нужно проверить параметры репликации между контроллерами. Сделать это можно на любом контроллере (или с рабочего места администратора), где установлены инструменты администрирования AD. Запускаем “Сайты и службы”. Если репликация с новым DC не создана автоматически, то можно сделать вручную. Через сутки еще раз проверить, если появились строчки “”, то свои лучше убрать. В некоторых случаях репликацию настраивают вручную, это может зависеть от конкретной ситуации.

DC готов, но надо будет еще DHCP на нем поднять. Это пока не срочно.

Добавляем узел DFS

В качестве сервера пространства имен будем использовать контроллер домена. Для этого на сервере нужна роль DFS-Namespace. Но на контроллере она устанавливается автоматически при добавлении роли DC, поэтому ничего дополнительно устанавливать не нужно.

Файлы будем хранить НЕ на DC, а на другом сервере в этом же сайте, ибо использовать контроллер для общих файловых ресурсов — моветон.

На файловом сервере ESSR-FS запускаем PowerShell с повышенными привилегиями и выполняем команду:

Install-WindowsFeature FS-DFS-Replication

В консоли управления DFS (на любом сервере, где есть эта консоль) добавляем Сервер пространства имен:

правый клик по корню — Add Namespace Server.

В единственное поле появившегося окна вписываем имя подключаемого контролера: DC41

В результате с настройками по умолчанию на этом сервере создается каталог C:\DFSRoots\. Данный путь можно было изменить в окне добавления сервера пространства имен кнопкой “Edit Settings”

Смотрим в консоли DFS, как на других серверах выглядят пути к каталогам общего ресурса, который нужно реплицировать («D:\Inst\1cDistr»). Делаем аналогичный каталог (не обязательно аналогичный, но так удобнее) на файловом сервере нового сайта и выставляем его в общий доступ. В консоли DFS добавляем папку назначения для общего каталога “\x\DB\1cDistr”: правый клик по нему — “Add Folder Target…” В этом окне указываем путь к только что созданной папке, задаем способ репликации.

DC-Ris10

Схема репликации может быть любой, в зависимости от задач. Увидеть и изменить схему репликации можно в нижней части дерева в консоли DFS — узел Replication. Там для каждой реплицируемой папки свой отдельный раздел. На вкладке Connections можно вручную запустить репликацию, не дожидаясь её выполнения по расписанию. Щелкаем по нужной строчке правой кнопкой и выбираем пункт Replicate Now. В зависимости от скорости соединения файлы могут появиться на новом сервере через разное время. Проверяем минут через 5. Если файлы появились, то на этом все.

Запуск VPN соединения до входа в Windows

date

10.11.2023

user

itpro

directory

PowerShell, Windows 10, Windows 11, Windows Server 2019

comments

комментариев 18

По умолчанию встроенный VPN клиент Windows позволяет подключиться к VPN серверу только после входу пользователя в систему. Это создает проблемы для компьютеров/ноутбуков, которые состоят в домене Active Directory и подключаются к доменной сети через VPN. Конечно, пользователь может войти на свой компьютер под кэшированными учетными данными домена (cached credentials) и после этого запустить VPN. Но у такого пользователей постоянно будут появляться проблемы с доступом к общим сетевым папкам и другим доменным ресурсам (особенно после смены пароля в домене).

Windows позволяет установить подключение с VPN серверу до входа пользователя в систему. В этом случае пользователь после установления VPN подключения выполнит полноценную аутентификацию на контроллере домена AD.

В предыдущих версиях Windows это можно было реализовать с помощью опции “Allow other people to use this connection” в настройках VPN подключения. Но в современных версиях Windows 10 и 11 эта опция отсутствует.

VPN подключение - опция Allow other people to use this connection

В новых версиях Windows можно создать общее VPN подключения из командной строки PowerShell. Например, для L2TP VPN подключения с общим ключом используется команда:

Add-VpnConnection -Name WorkVPN_L2TP -ServerAddress x.x.x.x -TunnelType L2TP -L2tpPsk «str0ngSharedKey2» -EncryptionLevel Required -AuthenticationMethod MSChapv2 -RememberCredential -AllUserConnection $true –PassThru

Особенности использования L2TP/IPsec VPN подключений в Windows.

В данном случае опция -AllUserConnection $true позволяет создать VPN подключение, которое доступно всем пользователям Windows, в том числе на экране входа.

Чтобы создать другие типы VPN подключений (PPTP, SSTP, IKEv2), обратитесь к примерам использования командлета Add-VpnConnection в статье “Управление VPN подключениями в Windows из PowerShell”.

В дальнейшем вы можете изменить настройки общего VPN подключения из графического интерфейса панели управления (ncpa.cpl).

Если VPN подключение уже создано в вашем профиле, вы можете сделать его общим, скопировав файл rasphone.pbk из каталога %userprofile%\AppData\Roaming\Microsoft\Network\Connections\PBK в C:\ProgramData\Microsoft\Network\Connections\PBK .

rasphone.pbk скопировать VPN подключение для всех пользователей

Теперь на экране входа в Windows нужно нажать значок сетевого подключения в правом нижнем углу.

VPN подключение на экране входа в Windows

Введите имя и пароль пользователя для VPN подключения.

Имя и пароль пользователя для L2TP подключения до входа в Windows

После этого ваш компьютер должен установить подключение, и вы можете войти в Windows под своей доменной учетной записью.

Подключиться к VPN до входа пользователя в Windows

Если VPN подключение прервется, пользователь может самостоятельно переподключиться из панели управления (или настроить автоматическое переподключение к VPN).

Предыдущая статьяПредыдущая статья Следующая статья Следующая статья

Читайте далее в разделе PowerShell Windows 10 Windows 11 Windows Server 2019

page

page

page

Ищем источник блокировки учетной записи пользователя в Active Directory

Настройка проброса сетевых портов (порт форвардинг) в Windows

Установка и настройка сервера обновлений WSUS на Windows Server

Настройка NIC Teaming в Windows Server 2019/2016 и Windows 10

Создание пользователей и групп для удаленных VPN-клиентов

С чего начать. Нажмите кнопку Пуск, щелкните Выполнить и введите compmgmt.msc, после чего нажмите клавишу ВВОД. Этой командой открывается окно Управление компьютером.

    В окне управления компьютером щелкните Локальные пользователи и группы, затем щелкните правой кнопкой элемент Группы и выберите команду Создать группу.

    Дважды щелкните пользователя, чтобы открыть его свойства.

Включение и настройка удаленного доступа для VPN-клиентов

С чего начать. В дереве консоли управления Forefront TMG щелкните Виртуальные частные сети, а в области сведений откройте вкладку VPN-клиенты.

    На вкладке Задачи щелкните Включить доступ VPN-клиентов, чтобы открыть диалоговое окно Свойства: VPN-клиенты.

После включения удаленного доступа VPN-клиентов активируется используемое по умолчанию сетевое правило, чтобы установить отношение между внутренней сетью и двумя сетями VPN-клиентов (VPN-клиентами и VPN-клиентами на карантине).

    Разрешить протокол PPTP

Примечание.
Если разрешить удаленное подключение VPN-клиентов к Forefront TMG с использованием туннельного протокола L2TP, потребуется сертификат.
Примечание.
В качестве пользователей VPN нельзя добавить встроенные группы Windows. Встроенные группы доменов можно использовать (даже в том случае, когда сервер Forefront TMG является также контроллером домена).

Включение сопоставления пользователей (необязательно)

Включите сопоставление пользователей, чтобы применить используемые по умолчанию правила доступа политики межсетевого экрана для пользователей, проверка подлинности которых осуществляется методом RADIUS или EAP.

    На вкладке Сопоставление пользователей щелкните Включить сопоставление пользователей.

Чтобы использовать сопоставление пользователей, в домене необходимо установить Forefront TMG. Не включайте сопоставление пользователей в среде рабочей группы.

Проверка VPN-подключений

Чтобы проверить VPN-подключения, можно понаблюдать за использованием удаленного доступа и попытками проверки подлинности через средство просмотра сеансов.

    На вкладке Задачи щелкните Наблюдение за VPN-клиентами. В средстве просмотра сеансов отображаются данные для VPN-клиентов, подключающихся к Forefront TMG.

Включение управления карантином (необязательно)

Возможно, вы пожелаете помещать каждого подключающегося VPN-клиента в карантин, чтобы убедиться, что он соответствует применяемой политике безопасности. VPN-клиентам, не соответствующим этой политике, будет разрешено подключиться к ресурсам внутренней сети, с которых они могут загрузить программное обеспечение и обновления, необходимые для обеспечения совместимости, но им будет запрещен общий доступ к корпоративным ресурсам. Дополнительные сведения см. в разделах Настройка карантина на основе защиты доступа к сети (NAP) и Настройка управления карантином на основе RQS/RQC.

Как правильно подключить клиентские компьютеры через vpn к AD?

На данный момент имею сеовер с AD (ad, dns, dhcp). Внутри сети все работает все отлично! Но есть необходимость подключить к AD несколько удаленных компьютеров. Шлюз микротик, сейчас на нем поднят l2tp+IPSec , на других концах тоже микротики, клиентами. По ip адресам доступ к компам есть , а вот по имени нет. Соответственно, без этого не получается подключить AD. Порты в firewall открыты (необходимые для AD).

  • Вопрос задан более трёх лет назад
  • 4377 просмотров

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *