Настройка интернет-раздачи Windows Server 2019

Обновлено: 21.11.2024

Виртуальная частная сеть (VPN) используется для безопасного создания туннеля для данных между вашим локальным компьютером и удаленным сервером. В Windows Server 2019 вы можете настроить VPN, чтобы предоставить доступ к сети подключенным клиентам и обеспечить безопасную связь подключенных устройств.

В этом руководстве объясняется, как настроить свежий Windows Server 2019 в качестве L2TP через IPSec или PPTP VPN с использованием функции маршрутизации и удаленного доступа. Туннельный протокол уровня 2 (L2TP) с IPSec обеспечивает надежное шифрование соединений с сервером. С другой стороны, протокол туннелирования точка-точка (PPTP) прост в развертывании, но не так безопасен.

Для настройки VPN-сервера мы будем использовать встроенную функцию маршрутизации и удаленного доступа, которая предлагает графический интерфейс для настройки удаленных сетевых функций, таких как удаленный доступ, маршрутизация по локальной сети, NAT и VPN.

Требования

  • Развертывание экземпляра Windows Server 2019 на Vultr
  • Удаленно подключитесь к серверу и войдите в систему как администратор.

Создать нового пользователя VPN

Чтобы служба VPN работала должным образом, она должна проходить аутентификацию на сервере с действительной учетной записью пользователя. Итак, вам нужно создать нового пользователя на сервере.

Нажмите "Инструменты" в диспетчере серверов и выберите "Управление компьютером" в раскрывающемся списке, чтобы создать нового пользователя.

Когда появится окно управления компьютером, разверните Локальные пользователи и группы на левой панели и щелкните правой кнопкой мыши Пользователи, чтобы выбрать Новый пользователь в подменю.

В диалоговом окне "Новый пользователь" введите имя пользователя, полное имя и пароль для пользователя VPN, затем нажмите "Создать" и закройте окно.

Новый пользователь теперь будет указан в списке активных пользователей сервера. Щелкните правой кнопкой мыши нового пользователя и выберите свойства.

В окне свойств пользователя перейдите на вкладку "Коммутируемый доступ" и нажмите "Разрешить доступ" в разделе "Разрешение на доступ к сети". Нажмите OK, чтобы изменения вступили в силу.

Установите функции маршрутизации и удаленного доступа

Процедура 1. Через диспетчер серверов

В меню "Пуск" Windows откройте Диспетчер серверов, нажмите "Управление", затем выберите "Добавить роли и компоненты" в раскрывающемся списке.

В открывшемся окне нажмите «Далее» и выберите «Установка на основе ролей или компонентов», затем выберите свой сервер из пула. Выберите Удаленный доступ, Администрирование удаленного доступа из списка ролей сервера.

Затем выберите DirectAccess и VPN (RAS) и маршрутизацию из списка функций, затем нажмите «Установить IIS», который необходим для правильной работы удаленного доступа.

Процедура 2. Использование Windows PowerShell

Вы также можете установить удаленный доступ из Windows Powershell. В меню "Пуск" Windows откройте административную оболочку Powershell, затем установите Удаленный доступ, вставив в консоль следующий код.

Настройка маршрутизации и удаленного доступа

Откройте Диспетчер серверов и нажмите Инструменты на верхней панели инструментов. В раскрывающемся списке выберите Управление удаленным доступом.

В открытом окне "Маршрутизация и удаленный доступ" щелкните правой кнопкой мыши имя своего сервера чуть ниже состояния сервера, затем в раскрывающемся меню выберите "Настроить и включить маршрутизацию и удаленный доступ".

Теперь выберите Пользовательская конфигурация, чтобы настроить удаленный доступ вручную.

Выберите VPN-доступ и NAT в качестве служб, которые вы хотите включить на своем сервере, нажмите «Далее», чтобы завершить настройку и запустить службу.

Настройка PPTP VPN

Теперь, когда удаленный доступ запущен, вы можете настроить PPTP VPN. Чтобы начать работу, вы должны назначить подключенным клиентам** статические IP-адреса, чтобы избежать возможных проблем с подключением. Для этого щелкните правой кнопкой мыши свой сервер в окне "Маршрутизация и удаленный доступ" и выберите "Свойства" в раскрывающемся списке.

Нажмите IPV4 в открытом окне, затем выберите Статический пул адресов. Теперь нажмите «Добавить», чтобы создать новый диапазон IP-адресов в открытом всплывающем окне. В этом руководстве мы используем диапазон от 10.0.0.1 до 10.0.0.50, и сервер автоматически рассчитает количество доступных адресов.

Нажмите OK, чтобы сохранить конфигурацию статического IP-адреса. Вам будет предложено перезапустить службу маршрутизации и удаленного доступа, чтобы изменения вступили в силу; просто нажмите OK.

Настроить NAT и включить PPTP

Нам необходимо настроить преобразование сетевых адресов (NAT), чтобы подключенные клиенты могли использовать Интернет. На левой панели того же окна маршрутизации и удаленного доступа разверните параметры IPv4 под своим сервером. Щелкните правой кнопкой мыши NAT и выберите "Новый интерфейс".

В открытом диалоговом окне выберите Общий интерфейс и включите NAT на интерфейсе.

Затем перейдите к разделу «Службы и порты» и выберите «VPN-шлюз (PPTP)» в раскрывающемся списке.

Нажмите «Изменить», чтобы задать частный адрес для службы VPN, измените текущий адрес с 0.0.0.0 на 127.0.0.1 и нажмите «ОК» для сохранения.

Наконец, нажмите "ОК", чтобы сохранить все изменения, затем щелкните правой кнопкой мыши свой сервер на левой панели и выберите "Перезагрузить" в подменю "Все задачи".

При этом службы маршрутизации и удаленного доступа будут перезапущены, и ваш сервер будет готов к входящим VPN-подключениям.

Настройте брандмауэр Windows для приема входящих VPN-подключений PPTP

Нажмите Инструменты в диспетчере серверов Windows и выберите Брандмауэр Защитника Windows в режиме повышенной безопасности в раскрывающемся списке.

В открытом окне брандмауэра Защитника Windows в режиме повышенной безопасности выберите «Правила для входящих подключений» на левой панели, затем нажмите «Новое правило» на правой панели.

В открывшемся мастере нового правила для входящих подключений нажмите Предопределенные и выберите в списке Маршрутизация и удаленный доступ.

В соответствии с предопределенными правилами выберите «Маршрутизация и удаленный доступ (PPTP-входящий)», нажмите «Далее», чтобы разрешить подключение, затем завершите работу, чтобы применить новое правило брандмауэра, и протестируйте новый VPN-сервер PPTP.

Проверьте PPTP VPN

Используя свой персональный компьютер (ПК) или смартфон, перейдите в «Сети», «Добавить новую VPN» и выберите PPTP в качестве типа VPN. Затем введите имя пользователя и пароль VPN, созданные ранее для подключения.

В этом руководстве мы рассмотрим и протестируем PPTP VPN на ПК с Windows 10. Чтобы начать, откройте меню "Пуск" и найдите "Панель управления", затем нажмите "Сеть и Интернет".

В разделе "Сеть и Интернет" откройте Центр управления сетями и общим доступом и нажмите "Настроить новое подключение или сеть".

В открытом окне выберите Подключиться к рабочему месту и нажмите Использовать мое подключение к Интернету (VPN).

Затем введите общедоступный IP-адрес вашего сервера (проверьте панель управления сервера Vultr), назначьте имя подключения и нажмите «Создать».

Теперь на левой панели нажмите «Изменить настройки адаптера», затем щелкните правой кнопкой мыши созданный интерфейс VPN и выберите «Свойства».

Во всплывающем окне нажмите «Безопасность», затем выберите «Протокол туннелирования точка-точка» (PPTP) в разделе «Тип VPN».

Наконец, в разделе «Разрешить эти протоколы» выберите CHAP и MS-CHAP v2, затем нажмите «ОК», чтобы применить изменения.

Ваша новая VPN успешно настроена. Щелкните значок сетевого подключения на панели задач, выберите свою сеть VPN в списке и нажмите «Подключиться», чтобы ввести имя пользователя и пароль VPN, созданные ранее, чтобы установить соединение с вашим новым VPN-сервером PPTP.

Настройка L2TP с IPSEC

Откройте диспетчер серверов, щелкните "Инструменты" и откройте "Управление удаленным доступом", затем щелкните правой кнопкой мыши свой сервер на левой панели, чтобы выбрать "Свойства" в раскрывающемся списке.

В свойствах сервера перейдите на вкладку "Безопасность" и нажмите "Разрешить пользовательскую политику IPSec для подключения L2TP/IKEv2", чтобы ввести новый общий ключ.

В этом руководстве мы используем 12345678, выбираем что-то более надежное, затем переходим к IPV4, чтобы установить статический пул адресов, и нажимаем OK, чтобы применить изменения.

Запомните предварительный общий ключ (PSK), так как он потребуется каждому пользователю, устанавливающему соединение с VPN-сервером.

На левой панели разверните подменю IPV4 и щелкните правой кнопкой мыши NAT, затем выберите «Новый интерфейс». Если вы настроили PPTP ранее, щелкните NAT и отредактируйте существующий интерфейс, который вы уже создали.

Перейдите на вкладку «Службы и порты» и выберите VPN-шлюз [L2TP/IPSec], затем нажмите «Изменить», чтобы изменить частный адрес с 0.0.0.0 на 127.0.0.1. Нажмите «ОК», чтобы сохранить изменения и перезапустить удаленный доступ на левой панели в разделе «Все задачи».

При этом будет перезапущена служба маршрутизации и удаленного доступа, а затем сохранены примененные конфигурации L2TP.

Разрешить подключения L2TP через брандмауэр Windows

Откройте Защитник Windows с брандмауэром, выберите правила для входящего трафика и добавьте новое правило. Выберите «Предопределенные» и из списка выберите «Маршрутизация и удаленный доступ».

В разделе "Предопределенные правила" выберите "Маршрутизация и удаленный доступ [L2TP-In]" и нажмите "Далее".

Наконец, разрешите подключение и нажмите "Готово", чтобы применить новое правило брандмауэра.

Подключите и протестируйте VPN-сервер L2TP

В этом руководстве мы тестируем новый L2TP с IPSec VPN на Mac. Чтобы начать, откройте «Системные настройки» и нажмите «Сеть».

В окне «Настройки сети» нажмите знак «+» и выберите VPN в диалоговом окне «Интерфейс». Затем выберите L2TP с IPSec в качестве типа VPN и присвойте своему соединению имя.

Нажмите «Создать», затем введите IP-адрес общедоступного сервера (адрес сервера) и имя пользователя (имя учетной записи). Затем нажмите «Настройки аутентификации», чтобы ввести пароль своей учетной записи и предварительно созданный общий ключ (общий секрет).

Затем нажмите «Дополнительно» и выберите «Отправить весь трафик через VPN-подключение», затем нажмите «Применить» и, наконец, нажмите «Подключиться», чтобы установить подключение к вашему новому VPN-серверу L2TP.

Заключение

Вы настроили VPN на своем экземпляре Windows Server 2019; вы можете создать как PPTP, так и L2TP VPN с разными пользователями, подключающимися через ваш сервер, без каких-либо ограничений.

Каждое подключенное устройство сможет получить доступ к Интернету через ваш сервер и взаимодействовать с другими подключенными компьютерами.

Используйте информацию в этом разделе для настройки производительности сетевых адаптеров для компьютеров под управлением Windows Server 2016 и более поздних версий. Если ваши сетевые адаптеры предоставляют параметры настройки, вы можете использовать эти параметры для оптимизации пропускной способности сети и использования ресурсов.

Правильные настройки сетевых адаптеров зависят от следующих переменных:

  • Сетевой адаптер и набор его функций
  • Тип рабочей нагрузки, которую выполняет сервер
  • Аппаратные и программные ресурсы сервера
  • Ваши цели по производительности для сервера

В следующих разделах описаны некоторые параметры настройки производительности.

Включение функций разгрузки

Обычно бывает полезно включить функции разгрузки сетевого адаптера. Однако мощность сетевого адаптера может оказаться недостаточной для работы с возможностями разгрузки с высокой пропускной способностью.

Не используйте функции разгрузки IPsec Task Offload или TCP Chimney Offload. Эти технологии устарели в Windows Server 2016 и могут отрицательно сказаться на производительности сервера и сети. Кроме того, эти технологии могут не поддерживаться корпорацией Майкрософт в будущем.

Например, рассмотрим сетевой адаптер с ограниченными аппаратными ресурсами. В этом случае включение функций разгрузки сегментации может снизить максимальную устойчивую пропускную способность адаптера.Однако, если сниженная пропускная способность приемлема, вам следует включить функции разгрузки сегментации.

Некоторые сетевые адаптеры требуют независимого включения функций разгрузки для путей отправки и получения.

Включение масштабирования на стороне приема (RSS) для веб-серверов

RSS может улучшить веб-масштабируемость и производительность, если на сервере меньше сетевых адаптеров, чем логических процессоров. Когда весь веб-трафик проходит через сетевые адаптеры с поддержкой RSS, сервер может обрабатывать входящие веб-запросы из разных подключений одновременно на разных процессорах.

Чтобы определить, поддерживает ли сетевой адаптер RSS, можно просмотреть информацию RSS на вкладке "Дополнительные свойства" свойств сетевого адаптера.

Профили RSS и очереди RSS

Предопределенным профилем RSS по умолчанию является NUMAStatic, который отличается от профиля по умолчанию, использовавшегося в предыдущих версиях Windows. Прежде чем начать использовать профили RSS, просмотрите доступные профили, чтобы понять, когда они полезны и как они применимы к вашей сетевой среде и оборудованию.

Например, если вы открываете Диспетчер задач и просматриваете логические процессоры на своем сервере и видите, что они недостаточно используются для получения трафика, вы можете попробовать увеличить количество очередей RSS с двух по умолчанию до максимального, допустимого для вашей сети. адаптер поддерживает. В вашем сетевом адаптере могут быть параметры для изменения количества очередей RSS как часть драйвера.

Увеличение ресурсов сетевого адаптера

Для сетевых адаптеров, которые позволяют вручную настраивать ресурсы, такие как буферы приема и отправки, следует увеличить выделенные ресурсы.

Некоторые сетевые адаптеры устанавливают буферы приема на низкий уровень для экономии памяти, выделенной хостом. Низкое значение приводит к потере пакетов и снижению производительности. Поэтому для сценариев с интенсивным приемом мы рекомендуем увеличить значение буфера приема до максимума.

Если сетевой адаптер не предоставляет ручную настройку ресурсов, ресурсы настраиваются либо динамически, либо для ресурсов устанавливается фиксированное значение, которое нельзя изменить.

Включение модерации прерываний

Для управления модерацией прерываний некоторые сетевые адаптеры предоставляют разные уровни модерации прерываний, разные параметры объединения буферов (иногда отдельно для буферов отправки и приема) или и то, и другое.

Вам следует рассмотреть возможность модерации прерываний для рабочих нагрузок, связанных с процессором. При использовании модерации прерываний рассмотрите компромисс между экономией ЦП хоста и задержкой и увеличением экономии ЦП хоста из-за большего количества прерываний и меньшей задержки. Если сетевой адаптер не выполняет модерацию прерываний, но предоставляет объединение буферов, вы можете повысить производительность, увеличив количество объединенных буферов, чтобы разрешить большее количество буферов на отправку или получение.

Настройка производительности для обработки пакетов с малой задержкой

Многие сетевые адаптеры позволяют оптимизировать задержку, вызванную операционной системой. Задержка — это время, прошедшее между сетевым драйвером, обрабатывающим входящий пакет, и сетевым драйвером, отправляющим пакет обратно. Обычно это время измеряется в микросекундах. Для сравнения, время передачи пакетов на большие расстояния обычно измеряется в миллисекундах (на порядок больше). Эта настройка не уменьшит время, в течение которого пакет находится в пути.

Ниже приведены некоторые рекомендации по настройке производительности для сетей, чувствительных к микросекундам.

Установите в BIOS компьютера режим High Performance с отключенными C-состояниями. Однако обратите внимание, что это зависит от системы и BIOS, и некоторые системы будут обеспечивать более высокую производительность, если операционная система управляет управлением питанием. Вы можете проверить и настроить параметры управления питанием в меню «Настройки» или с помощью команды powercfg. Дополнительные сведения см. в разделе Параметры командной строки Powercfg.

Установите для профиля управления питанием операционной системы значение High Performance System.

Этот параметр не работает должным образом, если в BIOS системы отключен контроль операционной системы над управлением питанием.

Включить статическую разгрузку. Например, включите параметры UDP Checksums, TCP Checksums и Send Large Offload (LSO).

Если трафик является многопоточным, например при получении большого объема многоадресного трафика, включите RSS.

Отключите параметр "Модерация прерываний" для драйверов сетевых карт, которым требуется минимально возможная задержка. Помните, что эта конфигурация может использовать больше процессорного времени и представляет собой компромисс.

Обработка прерываний сетевого адаптера и DPC на основном процессоре, который совместно использует кэш ЦП с ядром, которое используется программой (пользовательским потоком), обрабатывающей пакет. Настройку сходства ЦП можно использовать для направления процесса на определенные логические процессоры в сочетании с конфигурацией RSS для достижения этой цели.Использование одного и того же ядра для прерывания, DPC и потока пользовательского режима приводит к ухудшению производительности по мере увеличения нагрузки, поскольку ISR, DPC и поток конкурируют за использование ядра.

Прерывания управления системой

Многие аппаратные системы используют прерывания управления системой (SMI) для различных функций обслуживания, таких как сообщение об ошибках памяти с кодом исправления ошибок (ECC), поддержка устаревшей совместимости USB, управление вентилятором и управление параметрами питания, контролируемыми BIOS.< /p>

SMI является прерыванием с наивысшим приоритетом в системе и переводит ЦП в режим управления. Этот режим вытесняет все другие действия, в то время как SMI выполняет процедуру обработки прерывания, обычно содержащуюся в BIOS.

К сожалению, такое поведение может привести к скачкам задержки в 100 микросекунд и более.

Если вам нужно добиться наименьшей задержки, вам следует запросить у поставщика оборудования версию BIOS, которая максимально снижает SMI. Эти версии BIOS часто называют «BIOS с малой задержкой» или «BIOS без SMI». В некоторых случаях аппаратная платформа не может полностью устранить активность SMI, поскольку она используется для управления важными функциями (например, вентиляторами).

Операционная система не может управлять SMI, поскольку логический процессор работает в специальном режиме обслуживания, что предотвращает вмешательство операционной системы.

Настройка производительности TCP

Для настройки производительности TCP можно использовать следующие элементы.

Автонастройка окна приема TCP

В Windows Vista, Windows Server 2008 и более поздних версиях Windows сетевой стек Windows использует функцию под названием Уровень автонастройки окна приема TCP для согласования размера окна приема TCP. Эта функция может согласовывать определенный размер окна приема для каждой TCP-связи во время TCP-рукопожатия.

В более ранних версиях Windows сетевой стек Windows использовал окно приема фиксированного размера (65 535 байт), что ограничивало общую потенциальную пропускную способность для подключений. Общая достижимая пропускная способность соединений TCP может ограничивать сценарии использования сети. Автонастройка окна приема TCP позволяет этим сценариям полностью использовать сеть.

Для окна приема TCP определенного размера можно использовать следующее уравнение для расчета общей пропускной способности одного соединения.

Общая достижимая пропускная способность в байтах = Размер окна приема TCP в байтах * (1 / задержка соединения в секундах)

Например, для соединения с задержкой 10 мс общая достижимая пропускная способность составляет всего 51 Мбит/с. Это значение разумно для большой корпоративной сетевой инфраструктуры. Однако, используя автонастройку для настройки окна приема, соединение может достичь полной линейной скорости соединения 1 Гбит/с.

Некоторые приложения определяют размер окна приема TCP. Если приложение не определяет размер окна приема, скорость соединения определяет размер следующим образом:

  • Менее 1 мегабита в секунду (Мбит/с): 8 килобайт (КБ)
  • От 1 Мбит/с до 100 Мбит/с: 17 КБ.
  • От 100 Мбит/с до 10 гигабит в секунду (Гбит/с): 64 КБ
  • 10 Гбит/с или выше: 128 КБ.

Например, на компьютере с установленным сетевым адаптером 1 Гбит/с размер окна должен быть 64 КБ.

Эта функция также в полной мере использует другие функции для повышения производительности сети. Эти функции включают в себя остальные параметры TCP, определенные в RFC 1323. Используя эти функции, компьютеры под управлением Windows могут согласовывать размеры окон приема TCP, которые меньше, но масштабируются до определенного значения в зависимости от конфигурации. Такое поведение упрощает обработку размеров для сетевых устройств.

Может возникнуть проблема, из-за которой сетевое устройство не совместимо с параметром масштабирования окна TCP, как определено в RFC 1323, и, следовательно, не поддерживает коэффициент масштабирования. В таких случаях обратитесь к статье базы знаний 934430, Сбой подключения к сети при попытке использовать Windows Vista, защищенной брандмауэром, или обратитесь в службу поддержки поставщика сетевого устройства.

Просмотр и настройка уровня автонастройки окна приема TCP

Вы можете использовать команды netsh или командлеты Windows PowerShell для просмотра или изменения уровня автонастройки окна приема TCP.

В отличие от версий Windows, предшествующих Windows 10 или Windows Server 2019, вы больше не можете использовать реестр для настройки размера окна приема TCP. Дополнительные сведения об устаревших параметрах см. в разделе Устаревшие параметры TCP.

Подробную информацию о доступных уровнях автонастройки см. в разделе Уровни автонастройки.

Использование netsh для просмотра или изменения уровня автонастройки

Чтобы просмотреть текущие настройки, откройте окно командной строки и выполните следующую команду:

Вывод этой команды должен выглядеть следующим образом:

Чтобы изменить параметр, выполните следующую команду в командной строке:

В предыдущей команде представляет новое значение уровня автоматической настройки.

Чтобы использовать Powershell для просмотра или изменения уровня автонастройки

Чтобы просмотреть текущие настройки, откройте окно PowerShell и запустите следующий командлет.

Вывод этого командлета должен выглядеть следующим образом.

Чтобы изменить параметр, запустите следующий командлет в командной строке PowerShell.

В предыдущей команде представляет новое значение уровня автоматической настройки.

Дополнительные сведения об этих командлетах см. в следующих статьях:

Уровни автонастройки

Вы можете настроить автонастройку окна приема на любой из пяти уровней. Уровень по умолчанию — Нормальный. В следующей таблице описаны уровни.

< td>Highly Restricted < /tbody>
Уровень Шестнадцатеричное значение Комментарии
Нормальный (по умолчанию) 0x8 (коэффициент масштабирования 8) Установите увеличение окна приема TCP для соответствия почти всем сценариям.
Отключено Коэффициент масштабирования недоступен Установите для окна приема TCP значение по умолчанию.
Ограничено 0x4 (коэффициент масштабирования 4) Установите увеличение окна приема TCP сверх значения по умолчанию, но ограничьте такой рост в некоторых сценариях.
0x2 (коэффициент масштабирования 2) Настройте окно приема TCP так, чтобы оно превышало значение по умолчанию, но делайте это очень консервативно.
Экспериментальный 0xE (коэффициент масштабирования 14) Установите увеличение окна приема TCP для соответствия экстремальным сценариям.

Если вы используете приложение для захвата сетевых пакетов, приложение должно сообщать данные, подобные приведенным ниже, для различных настроек уровня автонастройки окна.

Уровень автонастройки: Обычный (состояние по умолчанию)

Уровень автонастройки: отключен

Уровень автонастройки: Ограниченный

Уровень автонастройки: сильно ограничен

Уровень автонастройки: Экспериментальный

Устаревшие параметры TCP

Следующие параметры реестра из Windows Server 2003 больше не поддерживаются и игнорируются в более поздних версиях.

Все эти параметры находились в следующем подразделе реестра:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters

Платформа фильтрации Windows

В Windows Vista и Windows Server 2008 появилась платформа фильтрации Windows (WFP). WFP предоставляет API-интерфейсы независимым поставщикам программного обеспечения (ISV), не связанным с Microsoft, для создания фильтров обработки пакетов. Примеры включают брандмауэр и антивирусное программное обеспечение.

Плохо написанный фильтр WFP может значительно снизить сетевую производительность сервера. Дополнительные сведения см. в разделе Перенос драйверов и приложений для обработки пакетов в WFP в Центре разработки для Windows.

Ссылки на все разделы этого руководства см. в разделе Настройка производительности сетевой подсистемы.

В этом руководстве мы научимся настраивать статический IP-адрес в Windows Server 2019. Возможно, ваш Ethernet-адаптер Windows Server настроен на получение IP-адреса от DHCP-сервера. В некоторых сетях в сети может не работать DHCP-сервер, поэтому возникает необходимость в назначении статического IP. В этом руководстве мы узнаем, как настроить статические адреса IPv4 и IPv6 на Windows Server 2019.

Предпосылки

    или выделенный сервер с установленной Windows Server 2019.
  • Вы должны войти в систему через протокол удаленного рабочего стола в качестве пользователя с правами администратора.

Шаг 1. Войдите в Windows с помощью RDP

Чтобы следовать этому руководству, вам необходимо подключиться к Windows Server с помощью RDP. Вы можете следовать этим руководствам для того же самого.

Шаг 2. Откройте свойства Ethernet-адаптера

Чтобы открыть настройки адаптера Ethernet, нажмите «Панель управления» в меню «Пуск» Windows. В панели управления нажмите «Сеть и Интернет», а затем нажмите «Центр управления сетями и общим доступом».

В разделе «Центр управления сетями и общим доступом» нажмите «Изменить настройки адаптера» на левой боковой панели. Откроется список подключенных сетевых адаптеров в вашей системе.

В Ethernet щелкните правой кнопкой мыши и выберите "Свойства", чтобы открыть настройки для этого конкретного адаптера.

Шаг 3. Найдите статический IP-адрес вашего сервера

Он покажет вам адреса IPv4 и IPv6 интерфейсов, подключенных к вашему серверу.

Число 1 — это IP-адрес интерфейса. В приведенном выше примере пример IPv4-адреса — 192.168.0.2. Маска подсети будет 255.255.255.0, а шлюз по умолчанию — 192.168.0.1.

Номер 2 – это первый DNS-сервер, а номер 3 – второй DNS-сервер.

Если вы не уверены в этих значениях, свяжитесь с нашей службой поддержки.

Шаг 4. Настройте статический IPv4-адрес

В разделе «Свойства адаптера Ethernet» один раз щелкните Интернет-протокол версии 4 (TCP/IPv4), чтобы выбрать этот параметр. Теперь нажмите на свойства, чтобы открыть конфигурацию IPv4.

После этого нажмите кнопку ОК, чтобы сохранить конфигурацию.

Шаг 5. Получите адрес IPv6

Клиенты Snel могут найти адрес IPv6, прикрепленный к их серверу, в панели управления Snel для VPS или выделенного сервера. Перейдите на вкладку «Сеть» >> «Интерфейсы».

Он покажет вам адреса IPv4 и IPv6 интерфейсов, подключенных к вашему серверу.

Число 1 — это IPv6-адрес интерфейса. В приведенном выше примере пример IPv6-адреса — fc00:1234:abcd:12ab::236. Длина маски подсети будет 48, а шлюз по умолчанию будет fc00:1234:abcd::1.

Номер 2 — это первый DNS-сервер сопоставителя IPv6, а номер 3 — второй DNS-сопоставитель IPv6.

Если вы не уверены в этих значениях, обратитесь в службу поддержки Snel.

Шаг 6. Настройте статический IPv6-адрес

В разделе "Свойства адаптера Ethernet" один раз щелкните Интернет-протокол версии 6 (TCP/IPv6), чтобы выбрать этот параметр. Теперь нажмите на свойства, чтобы открыть конфигурацию IPv6.

Заключение

В этом руководстве мы рассмотрели, как настроить статический IPv4 в Windows Server 2019. Мы рассмотрели, как получить IP-адрес, назначенный серверу Snel. Мы также научились настраивать статический IPv6 на Windows Server 2019.

В этом посте я покажу, как настроить сервер RADIUS в Windows Server 2019 для обеспечения беспроводных подключений 802.1X через точки беспроводного доступа.

На самом деле я хочу настроить RADIUS-сервер для беспроводных сетей IEEE 802.11, но он почти такой же, как и для проводных (Ethernet) сетей, за исключением того, что тип порта NAS (тип используемого носителя) — беспроводной IEEE 802.11, а не проводной Ethernet.

Реализация Майкрософт сервера службы удаленной аутентификации пользователей (RADIUS) для операционных систем Windows Server более поздних версий, чем Windows Server 2003, является ролью сервера сетевых политик и служб доступа (NPAS).

Поэтому сначала я установлю роль сервера Network Policy and Access Services (NPAS) либо на контроллере домена, либо на рядовом сервере.

Теперь, когда установлена ​​роль сервера Network Policy and Access Services (NPAS), у вас будет новая консоль с именем Network Policy Server.

Откройте консоль сервера политики сети и выберите сервер RADIUS для шаблона беспроводных или проводных подключений 802.1X, чтобы настроить NPS с помощью мастера.

Нажмите «Настроить 802.1X», чтобы запустить мастер.

Выберите безопасные беспроводные соединения

Здесь мне нужно добавить все мои точки доступа WLAN в качестве клиентов RADIUS.

Для аутентификации я буду использовать защищенный протокол EAP (PEAP).

Нажмите «Настроить», чтобы выбрать сертификат, подтверждающий подлинность сервера RADIUS для клиентов. Здесь вы можете использовать сертификат компьютера по умолчанию из вашей внутренней PKI.

Клиенты должны доверять этому сертификату, иначе пользователь не сможет подключиться к беспроводной сети.

PEAP по своей структуре похож на EAP-TTLS, требуя только сертификата PKI на стороне сервера для создания безопасного туннеля TLS для защиты аутентификации пользователя, и использует сертификаты открытого ключа на стороне сервера для аутентификации сервера.

Затем создается зашифрованный туннель TLS между клиентом и сервером аутентификации. В большинстве конфигураций ключи для этого шифрования передаются с использованием открытого ключа сервера. Последующий обмен информацией об аутентификации внутри туннеля для аутентификации клиента затем шифруется, а учетные данные пользователя защищены от перехвата.

PEAP служит оболочкой для MSCHAPv2, EAP-GTC и EAP-TLS, которые используются для аутентификации пользователей.

Успешная взаимная аутентификация PEAP-MS-CHAP v2 состоит из двух основных частей:

  • Клиент выполняет проверку подлинности NPS. На этом этапе взаимной проверки подлинности NPS отправляет свой сертификат сервера на клиентский компьютер, чтобы клиент мог проверить подлинность NPS с помощью сертификата. Для успешной проверки подлинности NPS клиентский компьютер должен доверять ЦС, выдавшему сертификат NPS. Клиент доверяет этому ЦС, если сертификат ЦС присутствует в хранилище сертификатов доверенных корневых центров сертификации на клиентском компьютере.
  • NPS выполняет аутентификацию пользователя. После успешной проверки подлинности сервера политики сети клиент отправляет учетные данные пользователя на основе пароля серверу политики сети, который сверяет учетные данные пользователя с базой данных учетных записей пользователей в доменных службах Active Directory (AD DS).

Если учетные данные действительны и проверка подлинности прошла успешно, сервер политики сети начинает фазу авторизации обработки запроса на подключение. Если учетные данные недействительны и проверка подлинности завершается сбоем, NPS отправляет сообщение об отказе в доступе, и запрос на подключение отклоняется.

Поведение, требующее от клиента проверки сертификата сервера, можно отключить, но отключение проверки сертификата сервера не рекомендуется в рабочих средах.

Сервер, на котором запущен NPS, выполняет авторизацию следующим образом:

  • NPS проверяет наличие ограничений в свойствах телефонного подключения учетной записи пользователя или компьютера в доменных службах Active Directory. Каждая учетная запись пользователя и компьютера в Active Directory Users and Computers включает несколько свойств, в том числе те, которые находятся на вкладке Dial-in. Если на этой вкладке в поле «Разрешение на доступ к сети» установлено значение «Разрешить доступ», пользователь или компьютер имеет право подключаться к сети. Если установлено значение Запретить доступ, пользователю или компьютеру не разрешено подключаться к сети. Если задано значение Управление доступом с помощью сетевой политики NPS, сервер политики сети оценивает настроенные сетевые политики, чтобы определить, разрешено ли пользователю или компьютеру подключаться к сети.
  • Затем NPS обрабатывает свои сетевые политики, чтобы найти политику, соответствующую запросу на подключение. Если соответствующая политика найдена, NPS разрешает или запрещает подключение в зависимости от конфигурации этой политики.

Если проверка подлинности и авторизация выполнены успешно, и если соответствующая сетевая политика предоставляет доступ, NPS предоставляет доступ к сети, а пользователь и компьютер могут подключаться к сетевым ресурсам, для которых у них есть разрешения.

Помните о связи между сервером NPS и клиентом, как описано в обеих статьях Microsoft об аутентификации и авторизации выше.

Как упоминалось выше в отличной статье от SECUREW2, клиент не может связываться напрямую с сервером RADIUS для аутентификации себя и сервера, поскольку у него нет сетевого подключения до успешной аутентификации. Связь между клиентом и сервером RADIUS устанавливается через точки доступа (коммутаторы для проводных сетей), которые будут действовать как посредники при обмене между ними.

Здесь я добавлю все группы, которым разрешен доступ к сети через мои точки доступа wlan.

В следующем диалоговом окне вы можете настроить атрибуты управления трафиком (атрибуты туннеля RADIUS), чтобы разрешать и запрещать трафик для пользователей на основе назначенных им VLAN.

Используя серверы доступа к сети с поддержкой VLAN и NPS в Windows Server 2016, вы можете предоставить группам пользователей доступ только к тем сетевым ресурсам, которые соответствуют их разрешениям безопасности. Например, вы можете предоставить посетителям беспроводной доступ в Интернет, не разрешая им доступ к сети вашей организации.

Вы можете изменить все эти настройки позже непосредственно в консоли NPS.

Здесь вы можете изменить клиентов RADIUS.

Мастер создаст политику запросов на подключение и сетевую политику.

Политики запросов на подключение — это наборы условий и параметров, которые позволяют сетевым администраторам указывать, какие серверы службы удаленной аутентификации пользователей с телефонным подключением (RADIUS) выполняют аутентификацию и авторизацию запросов на подключение, которые сервер, на котором работает сервер политики сети (NPS), получает от RADIUS-клиенты. Политики запросов на подключение можно настроить, чтобы указать, какие серверы RADIUS используются для учета RADIUS.

По умолчанию мастер настроит обработку запроса аутентификации локально на сервере.

Сетевая политика

Сетевые политики – это наборы условий, ограничений и параметров, которые позволяют указать, кто имеет право подключаться к сети, а также обстоятельства, при которых они могут или не могут подключаться.

Вы также можете настроить учет для сервера NPS.

Мастер создал нашу сетевую политику, и нам не нужно ничего здесь менять.

При добавлении групп Windows не имеет значения, были ли они локальными группами на самом сервере или группами домена, NPS будет обрабатывать их обе.

Как упоминалось выше, вы можете использовать здесь сертификат компьютера по умолчанию на сервере NPS из вашей внутренней PKI.

Клиенты должны доверять этому сертификату, иначе пользователь не сможет подключиться к беспроводной сети.

PEAP по своей структуре похож на EAP-TTLS, требуя только сертификата PKI на стороне сервера для создания безопасного туннеля TLS для защиты аутентификации пользователя, и использует сертификаты открытого ключа на стороне сервера для аутентификации сервера.

Затем создается зашифрованный туннель TLS между клиентом и сервером аутентификации. В большинстве конфигураций ключи для этого шифрования передаются с использованием открытого ключа сервера. Последующий обмен информацией об аутентификации внутри туннеля для аутентификации клиента затем шифруется, а учетные данные пользователя защищены от перехвата.

Настройте точки доступа WLAN

На точках доступа wlan мы должны настроить IP-адрес сервера NPS (RADIUS), порт и общий секрет.

При желании мы также можем настроить Radius Accounting.

Настройка политик беспроводной сети (IEEE 802.11) | Профили Wi-Fi

Вы можете настроить групповые политики в своей сети, чтобы определить предпочтительные сети и параметры для WLAN-подключения к вашим клиентам.

Конфигурация компьютера -> Политики -> Параметры Windows -> Параметры безопасности -> Политики беспроводной сети (IEEE 802.11)

Клиенты должны автоматически подключаться к этой сети, когда она находится в пределах досягаемости.

Для метода сетевой аутентификации я должен выбрать защищенный EAP (PEAP), который используется на сервере NPS, а в качестве режима аутентификации я буду использовать аутентификацию пользователя или компьютера.

Даже наиболее распространенным методом проверки подлинности с помощью PEAP-MSCHAPv2 является проверка подлинности пользователя, при которой клиентам предлагается ввести свои учетные данные домена. Роль сервера Windows NPS также поддерживает проверку подлинности компьютера с помощью PEAP- Протокол MSCHAPv2.

Чтобы использовать проверку подлинности компьютера, вам также необходимо установить сертификат компьютера на клиентах и ​​выдать его из вашей внутренней PKI, как указано выше.

В дополнительных настройках вы можете включить единый вход в беспроводную сеть, установив этот флажок, ваш пароль для входа в ваш компьютер также будет передан и использован для установления беспроводного соединения с точками доступа.

Кроме того, если вы выберете «Выполнить непосредственно перед входом пользователя в систему», как показано на рисунке ниже, компьютер сначала попытается подключиться к точкам беспроводного доступа, когда пользователь вводит свой пароль, а затем войдет в свою учетную запись. компьютер после установления беспроводного соединения.

В случае, если будет выполняться аутентификация компьютера, компьютер уже подключается к сети на экране входа в систему, так как не имеет значения, какой пользователь войдет в систему.

Поэтому в обоих случаях компьютер может выполнить вход в сеть через контроллеры домена, и к компьютеру будут применены сценарии входа и групповые политики.

Если беспроводное соединение не может быть установлен, пользователь войдет в систему на своем компьютере, используя локальные кэшированные учетные данные, как обычно, но без обработки сценариев входа и применения групповых политик с контроллера домена.

На экране входа в систему вы увидите беспроводную сеть, к которой Windows пытается подключиться после ввода вашего пароля для входа в систему.

Аутентификация пользователя и компьютера
Наиболее распространенным методом аутентификации с PEAP-MSCHAPv2 является аутентификация пользователя, при которой клиентам предлагается ввести свои учетные данные домена. Также можно настроить RADIUS для проверки подлинности компьютеров, при которой сами компьютеры аутентифицируются с помощью RADIUS, поэтому пользователю не нужно предоставлять какие-либо учетные данные для получения доступа. Аутентификация компьютера обычно выполняется с помощью EAP-TLS, хотя некоторые параметры сервера RADIUS упрощают выполнение аутентификации компьютера с помощью PEAP-MSCHAPv2 (включая Windows NPS, как показано в приведенном ниже примере конфигурации).

В следующем примере конфигурации показано, как настроить Windows NPS в качестве сервера RADIUS, а Active Directory выступает в качестве пользовательской базы:

Добавить роль сервера политики сети (NPS) в Windows Server.
Добавить доверенный сертификат в NPS.
Добавить точки доступа в качестве клиентов RADIUS на сервере NPS.
Настроить политику в NPS. для поддержки PEAP-MSCHAPv2.
(Необязательно для машинной аутентификации) Разверните параметры беспроводной сети PEAP-MSCHAPv2 на компьютерах-членах домена с помощью групповой политики.

Создавайте профили Wi-Fi с помощью System Center Configuration Manager (SCCM) или Microsoft Intune.

Вы также можете использовать SCCM или Microsoft Intune для настройки профилей Wi-Fi. Эта тема подробно описана Microsoft в следующих статьях.

Управление профилями Wi-Fi на локальном компьютере с помощью команды netsh

Вы также можете использовать инструмент командной строки netsh для управления профилями Wi-Fi на локальном компьютере.

Netsh — это утилита сценариев командной строки, которая позволяет отображать или изменять сетевую конфигурацию работающего в данный момент компьютера. Команды Netsh можно запускать, вводя команды в приглашении netsh, и их можно использовать в пакетных файлах или сценариях. Удаленные компьютеры и локальный компьютер можно настроить с помощью команд netsh.

Компонент автоматической настройки Native Wifi настраивает беспроводные сети, подключается к ним и отключается от них. Native Wifi может хранить профили в сетях, с которыми он взаимодействует, в виде XML-документов.

Устранение неполадок

Если что-то пошло не так и ваши клиенты не подключаются к беспроводной сети, вы можете изучить несколько журналов, чтобы получить более подробную информацию о проблеме.

Вы можете искать журналы в двух местах, чтобы выяснить причину, по которой клиенты не могут подключиться к сети.

В случае общих проблем с конфигурацией между сервером NPS и клиентами RADIUS вы можете изучить средство просмотра событий.

Пользовательские представления -> Роли сервера -> Службы сетевой политики и доступа

В случае возникновения проблем, связанных с аутентификацией самого пользователя, следует использовать журналы учета. Здесь вы можете увидеть путь по умолчанию от них.

Чтобы исследовать их, я бы предложил использовать специальную программу просмотра журналов, такую ​​как программа просмотра журналов IAS от DeepSoftware LLC. Вы также можете использовать это средство просмотра для изучения журналов VPN с серверов маршрутизации и удаленного доступа Windows.

IAS_SUCCESS -> пользователь или компьютер успешно прошли проверку подлинности на сервере NPS, ранее называвшемся службой проверки подлинности в Интернете (IAS)

Причина отклонения пользователя. Может быть:

Поле (26) Номер кода причины

  • 0 = IAS_SUCCESS
  • 1 = IAS_INTERNAL_ERROR
  • 2 = IAS_ACCESS_DENIED
  • 3 = IAS_MALFORMED_REQUEST
  • 4 = IAS_GLOBAL_CATALOG_UNAVAILABLE
  • 5 = IAS_DOMAIN_UNAVAILABLE
  • 6 = IAS_SERVER_UNAVAILABLE
  • 7 = IAS_NO_SUCH_DOMAIN
  • 8 = IAS_NO_SUCH_USER
  • 16 = IAS_AUTH_FAILURE
  • 17 = IAS_CHANGE_PASSWORD_FAILURE
  • 18 = IAS_UNSUPPORTED_AUTH_TYPE
  • 32 = IAS_LOCAL_USERS_ONLY
  • 33 = IAS_PASSWORD_MUST_CHANGE
  • 34 = IAS_ACCOUNT_DISABLED
  • 35 = IAS_ACCOUNT_EXPIRED
  • 36 = ​​IAS_ACCOUNT_LOCKED_OUT
  • 37 = IAS_INVALID_LOGON_HOURS
  • 38 = IAS_ACCOUNT_RESTRICTION
  • 48 = IAS_NO_POLICY_MATCH
  • 64 = IAS_DIAIN_LOCKED_OUT
  • 65 = IAS_DIAIN_DISABLED
  • 66 = IAS_INVALID_AUTH_TYPE
  • 67 = IAS_INVALID_CALLING_STATION
  • 68 = IAS_INVALID_DIALIN_HOURS
  • 69 = IAS_INVALID_CALLED_STATION
  • 70 = IAS_INVALID_PORT_TYPE
  • 71 = IAS_INVALID_RESTRICTION
  • 80 = IAS_NO_RECORD
  • 96 = IAS_SESSION_TIMEOUT
  • 97 = IAS_UNEXPECTED_REQUEST

Обмен аутентификацией EAP для беспроводных клиентов через точку доступа и сервер RADIUS, застрявший с использованием IPSec на основе маршрута в pfSense во время подтверждения SSL, а здесь сразу после приветствия клиента

Если вы столкнулись с этой проблемой, вы можете прочитать мой следующий пост о том, как настроить компактную сеть филиалов без каких-либо серверов и контроллеров домена внутри с помощью туннеля IPSec S2S VPN, подключенного к сети штаб-квартиры.

Читайте также: