Налаштування мережевих політик сервера політики мережі
Призначення: Forefront Threat Management Gateway (TMG)
Мережеві політики містять умови, параметри і обмеження для підключення до мережі. Необхідно створити мережеву політику, яка застосовується до комп'ютерів, що відповідає вимогам до працездатності, і мережеву політику, яка застосовується до комп'ютерів, що не відповідає вимогам до працездатності. В даному розділі клієнтські комп'ютери, що відповідають вимогам до працездатності, матимуть необмежений доступ до мережі. Клієнти, які не відповідають вимогам до працездатності, будуть додані в мережу VPN-клієнтів Forefront TMG, поміщених в карантин. Такі клієнти отримають доступ до серверів оновлень з виправленнями, параметрам і додатками, необхідними для відповідності вимогам до працездатності. Крім того, клієнти можуть оновлюватися до стану відповідності вимогам до працездатності та згодом їм може надаватися необмежений доступ до мережі.
Forefront TMG не підтримує IP-фільтри, налаштовані на сервері політики мережі. Щоб надати клієнтам, що не відповідає вимогам до працездатності, доступ до серверів оновлень, необхідно створити правило доступу на сервері Forefront TMG з мережі VPN-клієнтів, поміщених в карантин, до відповідних серверів оновлення.
Створіть мережеву політику для запитів мережевого доступу комп'ютерів, які відповідають вимогам.
Щоб налаштувати мережеву політику для комп'ютерів клієнтів, що відповідають вимогам, виконайте наступні дії:
Щоб відкрити консоль управління сервера політики мережі, на комп'ютері з встановленим сервером політики мережі натисніть кнопку Пуск. виберіть команду Виконати. введіть nps.msc і натисніть клавішу ENTER. Залиште вікно відкритим для виконання наступних завдань налаштування NPS.
У дереві двічі клацніть Політики.
Клацніть Мережеві політики.
В області Ім'я політики клацніть правою кнопкою миші дві політики за замовчуванням і виберіть команду Відключити.
Клацніть правою кнопкою миші Мережеві політики і виберіть команду Створити.
У вікні Вкажіть ім'я мережевої політики і тип підключення в поле Ім'я політики введіть Повний доступ і натисніть кнопку Далі.
У вікні Вкажіть умови натисніть кнопку Додати.
У діалоговому вікні Вибір умов двічі клацніть елемент Політики перевірки працездатності.
У діалоговому вікні Політики перевірки працездатності в розділі Політики перевірки працездатності виберіть Відповідний політиці комп'ютер і натисніть кнопку ОК.
У вікні Вкажіть умови перевірте, чи вказані Політики перевірки працездатності в поле Умови зі значенням Відповідає. і натисніть кнопку Далі.
Переконайтеся, що у вікні Вкажіть права доступу обраний варіант Доступ дозволено. після чого три рази натисніть кнопку Далі.
У вікні Налаштування параметрів виберіть Примусова захист доступу до мережі. Переконайтеся, що ви обрали Дозволити повний доступ до мережі. і натисніть кнопку Далі.
У вікні Завершення створення мережевої політики натисніть кнопку Готово.
Створіть мережеву політику для запитів мережевого доступу комп'ютерів, які не відповідають вимогам.
Щоб налаштувати мережеву політику для комп'ютерів клієнтів, які не відповідають вимогам, виконайте наступні дії:
В консолі диспетчера управління сервера політики мережі клацніть правою кнопкою миші елемент Мережеві політики і виберіть команду Створити.
У вікні Вказівка імені мережевий політики і типу підключення в поле Ім'я політики введіть Обмежений доступ і натисніть кнопку Далі.
У вікні Вкажіть умови натисніть кнопку Додати.
У діалоговому вікні Вибір умов двічі клацніть Політики перевірки працездатності.
У діалоговому вікні Політики перевірки працездатності в розділі Політики перевірки працездатності виберіть Не відповідає і натисніть кнопку ОК.
У вікні Вкажіть умови перевірте, чи вказані Політики перевірки працездатності в поле Умови зі значенням Не відповідає. і натисніть кнопку Далі.
Переконайтеся, що у вікні Вкажіть права доступу обраний варіант Доступ дозволено.
Параметр Доступ дозволено не означає, що клієнтам, що не відповідає вимогам, наданий повний доступ до мережі. Він означає, що політика повинна продовжувати перевірку клієнтів, які відповідають цим умовам.
Натисніть кнопку Далі три рази.
У вікні Налаштування параметрів виберіть Примусова захист доступу до мережі. Виберіть Дозволити обмежений доступ. а потім виберіть Увімкнути автоматичне виправлення комп'ютерів клієнтів.
У вікні Налаштування параметрів натисніть кнопку Далі. а потім у вікні Завершення створення мережевої політики натисніть кнопку Готово.
При наявності клієнтів, які не підтримують NAP, рекомендується створити мережеву політику для обробки запитів мережевого доступу цих клієнтів. Ця політика дозволяє клієнтам, що не підтримують NAP, підключатися і переміщатися в мережу клієнтів, поміщених в карантин. Додаткову інформацію про створення конфігурації див. Розділ Налаштування управління карантином на основі RQS / RQC.
Щоб налаштувати мережеву політику для комп'ютерів клієнтів, які не відповідають вимогам, виконайте наступні дії:
В консолі диспетчера управління сервера політики мережі клацніть правою кнопкою миші елемент Мережеві політики і виберіть команду Створити.
У вікні Вказівка імені мережевий політики і типу підключення в поле Ім'я політики введіть Не підтримує NAP і натисніть кнопку Далі.
У вікні Вкажіть умови натисніть кнопку Додати.
У діалоговому вікні Вибір умов двічі клацніть Комп'ютери з підтримкою NAP. виберіть Тільки комп'ютери, які не підтримують NAP. натисніть кнопку ОК. а потім кнопку Далі.
На сторінці Вкажіть права доступу натисніть кнопку Доступ дозволено. а потім натисніть кнопку Далі.
На сторінці Налаштування методів перевірки справжності виберіть необхідні методи перевірки автентичності та натисніть кнопку Далі.
На сторінці Налаштування обмежень натисніть кнопку Далі.
На сторінці Налаштування параметрів виберіть Відомості від виробника і натисніть кнопку Додати.
У вікні Додати атрибут постачальника виберіть Microsoft із списку Постачальник.
Виберіть Тайм-аут-сеансу-карантину-MS. натисніть кнопку Додати і у вікні Відомості про атрибут в поле Значення атрибута введіть 1200 і натисніть кнопку ОК.
Натисніть кнопку Закрити ,. а потім на сторінці Налаштування параметрів натисніть кнопку Далі.
Перевірте настройки мережної політики і натисніть кнопку Готово.