Подключение к AD через dial-up

Материал из СисадминВики (SysadminWiki.ru)
Перейти к: навигация, поиск

Нужно:

Предоставить удалённому пользователю возможность войти в домен Windows, используя модемную связь (dial-up).

В наличии:

  1. Корпоративная сеть с доменом под управлением Active Directory под Windows 2000 server (или позже).
  2. Контроллер домена с модемом
  3. Удалённый компьютер Windows с модемом.


Настройка сервера

- В Active Directory добавляем учётную запись для пользователя.

В свойствах учётной записи на закладке "Входящие звонки" поставим галочку на "Разрешить доступ".

- Устанавливаем модем и настраиваем его на автоответ после первого гудка. Для этого из любого терминала посылаем модему команду ats0=1

- Запускаем оснастку "Маршрутизация и удалённый доступ" (RRAS - Routing and Remote Access Service): мастера по добавлению политики удалённого доступа:

- Если в списке нет сервера - добавляем:

  • Действие - Добавление сервера - Этот компьютер
  • Выделяем сервер - Действие - Настроить и включить... - Далее
  • Сервер удалённого доступа
  • Убедимся, что протокол TCP/IP в списке и жмём далее
  • Если включен DHCP жмём далее, если раздаём IP вручную выбираем "Из заданного диапазона адресов", жмём далее и перечисляем диапазоны - Далее (не используем RADIUS)
  • Готово.
  • На предупреждение о настройке ретрансляции DHCP (если появляется) отвечаем "ОК" и жмём ещё раз "Готово"

- Убедимся, что в списке портов есть наш модем (иначе клиенту будет выходить ошибка 721). Если его нет, то нужно отключить удалённый доступ (контекстное меню на сервере), переустановить драйвера модема, возможно, перегрузить компьютер и "Настроить и включить маршрутизацию и удалённый доступ".

- По умолчанию создаётся политика для удалённого доступа в любое время. Если нужно задать дополнительную политику, то выбираем "Политика удаленного доступа"

  • Действие (или контекстное меню)
  • Создать политику удалённого доступа
  • Задаём имя - Далее -
  • Задаём условие: нажимаем кнопку "Добавить...", выбираем нужный нам атрибут для Day-And-Time-Restrictions выделяем мышкой нужные интервалы времени и меняем радио-кнопку на "Разрешено" - ОК
  • Жмём "Далее".
  • Выбираем "Предоставить право..." - Далее - Готово

- Теперь, после того как политика создана, если IP-адреса в нашей сети выдаются вручную, то открываем её свойства (из контекстного меню) - Изменить профиль - IP - отмечаем "Клиент может запросить IP-адрес"

Настройка клиента

- Устанавливаем модем. Проверяем его работоспособность:

Панель управления - Телефон и модем - Модемы (закладка) - Свойства (кнопка) - Диагностика (закладка) - Опросить модем (кнопка)

На этой же закладке неплохо бы поставить галочку на "Вести журнал".

- Запускаем мастера для создания соединения:

Панель управления - Сеть и удаленный доступ к сети - Создание нового подключения (или Файл - Новое подключение)

- Отвечаем на вопросы мастера:

  • Далее
  • Телефонное подключение к частной сети - Далее
  • Номер телефона (вводим) - Далее
  • Для всех пользователей (если можно) - Далее
  • Разрешить общий доступ... (если надо) - Далее
  • Добавить ярлык на рабочий стол (ставим галочку) - Далее

- Открываем ярлык подключения. Вводим имя пользователя, пароль и нажимаем "Вызов".

- Если при соединении выдаёт ошибку, то жмём кнопку "Свойства".

а) Если в сети ip адреса распределяются вручную, то этому соединению нужно настроить ip протокол:

Закладка "Сеть" - Протокол интернета - Свойства. Вводим адрес компьютера и адреса DNS серверов, которые используются в домене.

б) Закладка "Общие". Ставим галочку на "Использовать правила набора номера".

  • Нажимаем кнопку "Правила" - Изменить.
  • Выбираем тип набора номера. Если не уверены, то подключаем к линии телефон, нажимаем на 9 и слушаем. Тарахтение означает, что у нас импульсный набор (тоновый на каждое нажатие цифры выдаёт один звук)
  • При необходимости вводим код города.

- Если соединение удалось, то в system tray появиться иконка соединения. Теперь этот компьютер стал полноценным клиентом нашей сети: пользователь может использовать все ресурсы домена, к которым у него есть доступ; можно выходить в интернет, если для этого пользователя или IP-адреса есть соответствующее разрешение и т.д.

- Если на сервере будем менять модем, то нужно будет отключить и снова подключить "маршрутизацию и удалённый доступ" (контекстное меню сервера в одноимённой оснастке) и убедиться, что новый модем появился в списке портов.