Сервер сети Microsoft: использовать цифровую подпись (всегда) Microsoft network server: Digitally sign communications (always)

Область применения Applies to

• Windows 10. Windows 10
• Windows Server Windows Server

В этой статье описываются лучшие методики, расположение, значения, вопросы управления политиками и безопасности для сетевого сервера Майкрософт: параметр политики безопасности «Цифровая подпись» (всегда) для SMBv3 и SMBv2. Describes the best practices, location, values, policy management and security considerations for the Microsoft network server: Digitally sign communications (always) security policy setting for SMBv3 and SMBv2.

Справочные материалы Reference

Протокол SMB обеспечивает основу для общего доступа к файлам и печати и многих других сетевых операций, таких как удаленное администрирование Windows. The Server Message Block (SMB) protocol provides the basis for file and print sharing and many other networking operations, such as remote Windows administration. Чтобы предотвратить атаки «человек в середине», которые изменяют пакеты SMB при их переходе, протокол SMB поддерживает цифровую подпись пакетов SMB. To prevent man-in-the-middle attacks that modify SMB packets in transit, the SMB protocol supports the digital signing of SMB packets.

Реализация цифровых подписей в сетях с высоким уровнем безопасности помогает предотвратить подступы клиентских компьютеров и серверов, которые называются перехватом сеансов. Implementation of digital signatures in high-security networks helps prevent the impersonation of client computers and servers, which is known as «session hijacking.» Однако неправильное использование этих параметров политики может привести к сбою доступа к данным. But misuse of these policy settings can cause data access failure.

Начиная с клиентов и серверов SMBv2 подпись может быть обязательной или не обязательной. Beginning with SMBv2 clients and servers, signing can be either required or not required. Если этот параметр политики включен, клиенты SMBv2 будут подписывать все пакеты цифровой подписью. If this policy setting is enabled, SMBv2 clients will digitally sign all packets. Другой параметр политики определяет, требуется ли подпись для связи между серверами SMBv3 и SMBv2: сетевой клиент Майкрософт: цифровая подпись (всегда). Another policy setting determines whether signing is required for SMBv3 and SMBv2 server communications: Microsoft network client: Digitally sign communications (always).

Существует согласование между клиентом SMB и сервером SMB, чтобы решить, будет ли эффективно использоваться подпись. There is a negotiation done between the SMB client and the SMB server to decide whether signing will effectively be used. В следующей таблице приводится эффективное поведение для SMBv3 и SMBv2. The following table has the effective behavior for SMBv3 and SMBv2.

Сервер — обязательно Server – Required	Сервер — не требуется Server – Not Required
Клиент — обязательно Client – Required	Подписано Signed	Подписано Signed
Клиент — не требуется Client – Not Required	Подписано 1 Signed 1	Не подписано 2 Not Signed 2

1 По умолчанию для трафика SMB контроллера домена 1 Default for domain controller SMB traffic 2 По умолчанию для всего другого трафика SMB 2 Default for all other SMB traffic

В SMBv2 улучшена производительность подписи SMB. Performance of SMB signing is improved in SMBv2. Дополнительные сведения см. в сведениях о потенциальном влиянии. For more details, see Potential impact.

Возможные значения Possible values

• Enabled Enabled
• Отключено Disabled

Рекомендации Best practices

Включить сетевой сервер Майкрософт: цифровая подпись (всегда). Enable Microsoft network server: Digitally sign communications (always).

Расположение Location

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Значения по умолчанию Default values

В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. The following table lists the actual and effective default values for this policy. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики Server type or GPO	Значение по умолчанию Default value
Default Domain Policy Default Domain Policy	Отключено Disabled
Политика контроллера домена по умолчанию Default Domain Controller Policy	Включено Enabled
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings	Отключено Disabled
Эффективные параметры по умолчанию для DC DC Effective Default Settings	Включено Enabled
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings	Отключено Disabled
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings	Отключено Disabled

Управление политикой Policy management

В этом разделе описываются функции и средства, которые помогут вам управлять этой политикой. This section describes features and tools that are available to help you manage this policy.

Необходимость перезапуска Restart requirement

Нет. None. Изменения этой политики становятся эффективными без перезапуска устройства, если они сохраняются локально или распространяются посредством групповой политики. Changes to this policy become effective without a device restart when they are saved locally or distributed through Group Policy.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

При перехвате сеанса используются средства, позволяющие злоумышленникам, которые имеют доступ к той же сети, что и клиентские устройства или серверы, прервать, закончить или украсть сеанс. Session hijacking uses tools that allow attackers who have access to the same network as the client device or server to interrupt, end, or steal a session in progress. Злоумышленники могут перехватывать и изменять неподписаные пакеты SMB, а затем изменять трафик и переадпорировать его, чтобы сервер мог выполнять нежелательные действия. Attackers can potentially intercept and modify unsigned Server Message Block (SMB) packets and then modify the traffic and forward it so that the server might perform objectionable actions. Кроме того, злоумышленник может представлять себя в качестве сервера или клиентского устройства после проверки подлинности и получить несанкционированный доступ к данным. Alternatively, the attacker could pose as the server or client device after legitimate authentication and gain unauthorized access to data.

SMB — это протокол общего доступа к ресурсам, поддерживаемый многими операционными системами Windows. SMB is the resource-sharing protocol that is supported by many Windows operating systems. Он является основой многих современных функций, таких как direct, реплика хранилища и SMB Direct, а также многих устаревших протоколов и средств. It is the basis of many modern features like Storage Spaces Direct, Storage Replica, and SMB Direct, as well as many legacy protocols and tools. Если ни одна из сторон не проходит проверку подлинности, передача данных не происходит. If either side fails the authentication process, data transmission does not take place.

Противодействие Countermeasure

Включить сетевой сервер Майкрософт: цифровая подпись (всегда). Enable Microsoft network server: Digitally sign communications (always).

Альтернативным мерой противодействия, которое может защитить весь сетевой трафик, является реализация цифровых подписей с помощью IPsec. An alternative countermeasure that could protect all network traffic is to implement digital signatures with IPsec. Существуют аппаратные ускорители для шифрования IPsec и подписи, которые можно использовать, чтобы свести к минимуму влияние на производительность ЦП серверов. There are hardware-based accelerators for IPsec encryption and signing that could be used to minimize the performance impact on the servers’ CPUs. Такие ускорители недоступны для подписи SMB. No such accelerators are available for SMB signing.

Возможное влияние Potential impact

Скорость хранения влияет на производительность. Storage speeds impact performance. Чем быстрее диск в источнике и назначении, тем выше пропускная способность, что приводит к большему использованию подписи ЦП. A faster drive on the source and destination allows more throughput, which causes more CPU usage of signing. Если вы используете сеть Ethernet объемом 1 ГБ или более низкую скорость хранения с современным ЦП, производительность будет ограничена. If you are using a 1 Gb Ethernet network or slower storage speed with a modern CPU, there is limited degradation in performance. Если вы используете более быструю сеть (например, 10 ГБ), влияние подписи на производительность может быть больше. If you are using a faster network (such as 10 Gb), the performance impact of signing may be greater.

Шаг 4. Step 4. Установка и настройка сервера политики сети (NPS) Install and configure the Network Policy Server (NPS)

Область применения: Windows Server 2019, Windows Server (половина ежегодного канала), Windows Server 2016, Windows Server 2012 R2, Windows 10 Applies to: Windows Server 2019, Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows 10

На этом шаге вы установите сервер политики сети (NPS) для обработки запросов на подключение, отправленных VPN-сервером: In this step, you’ll install Network Policy Server (NPS) for processing of connection requests that are sent by the VPN server:

• Выполните авторизацию, чтобы убедиться, что у пользователя есть разрешение на подключение. Perform authorization to verify that the user has permission to connect.
• Выполнение проверки подлинности для проверки удостоверения пользователя. Performing authentication to verify the user’s identity.
• Выполнение учета для регистрации аспектов запроса на подключение, выбранного при настройке учета RADIUS в NPS. Performing accounting to log the aspects of the connection request that you chose when you configured RADIUS accounting in NPS.

Действия, описанные в этом разделе, позволяют выполнить следующие операции: The steps in this section allow you to complete the following items:

На компьютере или виртуальной машине, запланированной для сервера политики сети и установленной в организации или корпоративной сети, можно установить NPS. On the computer or VM that planned for the NPS server, and installed on your organization or corporate network, you can install NPS.

Если в сети уже имеется один или несколько серверов NPS, вам не нужно выполнять установку сервера NPS — вместо этого можно использовать этот раздел для обновления конфигурации существующего сервера NPS. If you already have one or more NPS servers on your network, you do not need to perform NPS Server installation — instead, you can use this topic to update the configuration of an existing NPS server.

Вы не можете установить службу сервера политики сети в Windows Server Core. You can not install the Network Policy Server service on Windows Server Core.

1. На корпоративном сервере политики Организации или организации сервер политики сети можно настроить на выполнение в качестве сервера RADIUS, который обрабатывает запросы на подключение, получаемые от VPN-сервера. On the organization/corporate NPS server, you can configure NPS to perform as a RADIUS server that processes the connection requests received from the VPN server.

Установка сервера политики сети Install Network Policy Server

В этой процедуре вы устанавливаете NPS с помощью Windows PowerShell или мастера диспетчер сервера добавить роли и компоненты. In this procedure, you install NPS by using either Windows PowerShell or the Server Manager Add Roles and Features Wizard. Сервер политики сети — это служба роли сервера службы политики сети и доступа. NPS is a role service of the Network Policy and Access Services server role.

По умолчанию сервер политики сети прослушивает RADIUS-трафик на портах 1812, 1813, 1645 и 1646 для всех установленных сетевых адаптеров. By default, NPS listens for RADIUS traffic on ports 1812, 1813, 1645, and 1646 on all installed network adapters. При установке NPS и включении брандмауэра Windows в повышенной безопасности исключения брандмауэра для этих портов создаются автоматически для трафика IPv4 и IPv6. When you install NPS, and you enable Windows Firewall with Advanced Security, firewall exceptions for these ports get created automatically for both IPv4 and IPv6 traffic. Если серверы сетевого доступа настроены на отправку трафика RADIUS через порты, отличные от этих значений по умолчанию, удалите исключения, созданные в брандмауэре Windows в процессе установки сервера политики сети, и создайте исключения для портов, используемых для трафика RADIUS. If your network access servers are configured to send RADIUS traffic over ports other than these defaults, remove the exceptions created in Windows Firewall with Advanced Security during NPS installation, and create exceptions for the ports that you do use for RADIUS traffic.

Процедура для Windows PowerShell: Procedure for Windows PowerShell:

Чтобы выполнить эту процедуру с помощью Windows PowerShell, запустите Windows PowerShell от имени администратора и введите следующий командлет: To perform this procedure by using Windows PowerShell, run Windows PowerShell as Administrator, enter the following cmdlet:

Процедура для диспетчер сервера: Procedure for Server Manager:

В диспетчер сервера выберите Управление, а затем выберите Добавить роли и компоненты. In Server Manager, select Manage, then select Add Roles and Features. Откроется мастер добавления ролей и компонентов. The Add Roles and Features Wizard opens.

В окне перед началом нажмите кнопку Далее. In Before You Begin, select Next.

Страница перед началом работы мастера добавления ролей и компонентов не отображается, если ранее был выбран параметр пропустить эту страницу по умолчанию при выполнении мастера добавления ролей и компонентов. The Before You Begin page of the Add Roles and Features Wizard is not displayed if you had previously selected Skip this page by default when the Add Roles and Features Wizard ran.

В списке выберите тип установки убедитесь, что установлен флажок установить на основе ролей или компонентов , и нажмите кнопку Далее. In Select Installation Type, ensure that Role-Based or feature-based installation is selected, and select Next.

Убедитесь, что на странице Выбор целевого сервера выбран параметр выбрать сервер из пула серверов . In Select destination server, ensure that Select a server from the server pool is selected.

В поле пул серверов убедитесь, что выбран локальный компьютер, и нажмите кнопку Далее. In Server Pool, ensure that the local computer is selected and select Next.

В окне Выбор ролей сервера в списке роли выберите пункт службы политики сети и доступа. In Select Server Roles, in Roles, select Network Policy and Access Services. Откроется диалоговое окно с запросом на добавление компонентов, необходимых для сетевой политики и служб доступа. A dialog box opens asking if it should add features required for Network Policy and Access Services.

Выберите Добавить компоненты, а затем нажмите кнопку Далее . Select Add Features, then select Next

В окне Выбор компонентов нажмите кнопку Далее, а затем в окне Службы политики сети и доступа просмотрите указанные сведения, а затем нажмите кнопку Далее. In Select features, select Next, and in Network Policy and Access Services, review the information provided, then select Next.

В окне Выбор служб ролей выберите сервер политики сети. In Select role services, select Network Policy Server.

Для компонентов, необходимых для сервера политики сети, выберите Добавить компоненты, а затем нажмите кнопку Далее. For features required for Network Policy Server, select Add Features, then select Next.

В поле Подтверждение установки установите флажок автоматически перезагружать сервер назначения при необходимости. In Confirm installation selections, select Restart the destination server automatically if required.

Выберите Да для подтверждения выбранного, а затем нажмите кнопку установить. Select Yes to confirm the selected, and then select Install.

На странице Ход выполнения установки отображается состояние в процессе установки. The Installation progress page displays the status during the installation process. По завершении процесса отображается сообщение «Установка выполнена в ComputerName«, где ComputerName — имя компьютера, на котором установлен сервер политики сети. When the process completes, the message «Installation succeeded on ComputerName» is displayed, where ComputerName is the name of the computer upon which you installed Network Policy Server.

Щелкните Закрыть. Select Close.

Настройка NPS Configure NPS

После установки NPS настройте NPS для выполнения всех операций проверки подлинности, авторизации и учета для запроса на подключение, полученного от VPN-сервера. After installing NPS, you configure NPS to handle all authentication, authorization, and accounting duties for connection request it receives from the VPN server.

Регистрация сервера NPS в Active Directory Register the NPS Server in Active Directory

В этой процедуре сервер регистрируется в Active Directory, чтобы он получил разрешение на доступ к сведениям об учетных записях пользователей во время обработки запросов на подключение. In this procedure, you register the server in Active Directory so that it has permission to access user account information while processing connection requests.

PROCEDURE Procedure:

В диспетчере сервера щелкните Средства, а затем щелкните Сервер политики сети. In Server Manager, select Tools, and then select Network Policy Server. Откроется консоль NPS. The NPS console opens.

В консоли NPS щелкните правой кнопкой мыши элемент NPS (локальный) и выберите пункт зарегистрировать сервер в Active Directory. In the NPS console, right-click NPS (Local), then select Register server in Active Directory.

Откроется диалоговое окно Сервер политики сети. The Network Policy Server dialog box opens.

В диалоговом окне сервер политики сети дважды нажмите кнопку ОК . In the Network Policy Server dialog box, select OK twice.

Альтернативные методы регистрации NPS см. в разделе Регистрация сервера NPS в домен Active Directory. For alternate methods of registering NPS, see Register an NPS Server in an Active Directory Domain.

Настройка учета сервера политики сети Configure Network Policy Server Accounting

В этой процедуре необходимо настроить учет сервера политики сети с помощью одного из следующих типов ведения журнала: In this procedure, configure Network Policy Server Accounting using one of the following logging types:

Ведение журнала событий. Event logging. Используется в основном для аудита и устранения неполадок при попытках подключения. Used primarily for auditing and troubleshooting connection attempts. Ведение журнала событий NPS можно настроить, получая свойства NPS Server в консоли NPS. You can configure NPS event logging by obtaining the NPS server properties in the NPS console.

Регистрация запросов проверки подлинности пользователя и учетных данных в локальном файле. Logging user authentication and accounting requests to a local file. Используется в основном для анализа подключений и выставления счетов. Used primarily for connection analysis and billing purposes. Также используется в качестве средства для анализа безопасности, поскольку оно предоставляет метод отслеживания действий злоумышленника после атаки. Also used as a security investigation tool because it provides you with a method of tracking the activity of a malicious user after an attack. Ведение журнала локального файла можно настроить с помощью мастера настройки учета. You can configure local file logging using the Accounting Configuration wizard.

Регистрация запросов проверки подлинности и учетных записей пользователей в базе данных, совместимой с XML Microsoft SQL Server. Logging user authentication and accounting requests to a Microsoft SQL Server XML-compliant database. Используется, чтобы разрешить нескольким серверам службы NPS иметь один источник данных. Used to allow multiple servers running NPS to have one data source. Также предоставляет преимущества использования реляционной базы данных. Also provides the advantages of using a relational database. Вы можете настроить ведение журнала SQL Server с помощью мастера настройки учета. You can configure SQL Server logging by using the Accounting Configuration wizard.

Сведения о настройке учета сервера политики сети см. в разделе Настройка учета сервера политики сети. To configure Network Policy Server Accounting, see Configure Network Policy Server Accounting.

Добавление VPN-сервера в качестве RADIUS-клиента Add the VPN Server as a RADIUS Client

В разделе Настройка сервера удаленного доступа для Always on VPN вы установили и настроили VPN-сервер. In the Configure the Remote Access Server for Always On VPN section, you installed and configured your VPN server. Во время настройки VPN-сервера вы добавили общий секрет RADIUS на VPN-сервере. During VPN server configuration, you added a RADIUS shared secret on the VPN server.

В этой процедуре используется текстовая строка общего секрета для настройки VPN-сервера в качестве RADIUS-клиента в NPS. In this procedure, you use the same shared secret text string to configure the VPN server as a RADIUS client in NPS. Используйте ту же текстовую строку, которая использовалась на VPN-сервере, или происходит сбой связи между сервером NPS и VPN-сервером. Use the same text string that you used on the VPN server, or communication between the NPS server and VPN server fails.

При добавлении нового сервера доступа к сети (VPN-сервера, точки беспроводного доступа, коммутатора с проверкой подлинности или сервера удаленного доступа) в сеть необходимо добавить сервер в качестве RADIUS-клиента на сервере политики сети, чтобы сервер политики сети знал об этом и мог взаимодействовать с сервером доступа к сети. When you add a new network access server (VPN server, wireless access point, authenticating switch, or dial-up server) to your network, you must add the server as a RADIUS client in NPS so that NPS is aware of and can communicate with the network access server.

PROCEDURE Procedure:

На сервере NPS в консоли NPS дважды щелкните RADIUS-клиенты и серверы. On the NPS server, in the NPS console, double-click RADIUS Clients and Servers.

Щелкните правой кнопкой мыши клиенты RADIUS и выберите создать. Right-click RADIUS Clients and select New. Откроется диалоговое окно Новый RADIUS-клиент. The New RADIUS Client dialog box opens.

Убедитесь, что флажок включить этот клиент RADIUS установлен. Verify that the Enable this RADIUS client check box is selected.

В поле понятное имя введите отображаемое имя VPN-сервера. In Friendly name, enter a display name for the VPN server.

В поле адрес (IP или DNS) введите IP-адрес NAS или полное доменное имя. In Address (IP or DNS), enter the NAS IP address or FQDN.

Если вы вводите полное доменное имя, выберите проверить , если вы хотите убедиться в правильности имени и сопоставляется с ДОПУСТИМЫМ IP-адресом. If you enter the FQDN, select Verify if you want to verify that the name is correct and maps to a valid IP address.

В общем секрете выполните следующие действия. In Shared secret, do:

Убедитесь, что выбрано вручную . Ensure that Manual is selected.

Введите строгую текстовую строку, которая также была введена на VPN-сервере. Enter the strong text string that you also entered on the VPN server.

Повторно введите общий секрет в поле Подтверждение общего секрета. Reenter the shared secret in Confirm shared secret.

Нажмите кнопку OK. Select OK. VPN-сервер появится в списке клиентов RADIUS, настроенных на NPS-сервере. The VPN Server appears in the list of RADIUS clients configured on the NPS server.

Настройка сервера политики сети в качестве RADIUS для VPN-подключений Configure NPS as a RADIUS for VPN Connections

В этой процедуре вы настраиваете сервер политики сети в качестве сервера RADIUS в сети Организации. In this procedure, you configure NPS as a RADIUS server on your organization network. На сервере политики сети необходимо определить политику, которая разрешает доступ к Организации или корпоративной сети только пользователям из определенной группы через VPN-сервер, а затем только при использовании действительного сертификата пользователя в запросе проверки подлинности PEAP. On the NPS, you must define a policy that allows only users in a specific group to access the Organization/Corporate network through the VPN Server — and then only when using a valid user certificate in a PEAP authentication request.

PROCEDURE Procedure:

В консоли NPS в стандартной конфигурации убедитесь, что выбран RADIUS-сервер для подключений удаленного доступа или VPN . In the NPS console, in Standard Configuration, ensure that RADIUS server for Dial-Up or VPN Connections is selected.

Выберите Настройка VPN или удаленный доступ. Select Configure VPN or Dial-Up.

Откроется мастер настройки VPN или коммутируемого подключения. The Configure VPN or Dial-Up wizard opens.

Выберите подключения виртуальной частной сети (VPN) и нажмите кнопку Далее. Select Virtual Private Network (VPN) Connections, and select Next.

В поле Укажите сервер удаленного доступа или VPN-клиенты выберите имя VPN-сервера, добавленного на предыдущем шаге. In Specify Dial-Up or VPN Server, in RADIUS clients, select the name of the VPN Server that you added in the previous step. Например, если NetBIOS-имя VPN-сервера — RAS1, выберите RAS1. For example, if your VPN server NetBIOS name is RAS1, select RAS1.

Выберите Далее. Select Next.

В разделе Настройка методов проверки подлинности выполните следующие действия. In Configure Authentication Methods, complete the following steps:

Снимите флажок Microsoft encrypted Authentication версии 2 (MS-CHAPv2) . Clear the Microsoft Encrypted Authentication version 2 (MS-CHAPv2) check box.

Установите флажок Протокол расширенной проверки подлинности , чтобы выбрать его. Select the Extensible Authentication Protocol check box to select it.

В поле Тип (на основе метода доступа и конфигурации сети) выберите Microsoft: Protected EAP (PEAP), а затем щелкните настроить. In Type (based on the method of access and network configuration), select Microsoft: Protected EAP (PEAP), then select Configure.

Откроется диалоговое окно Изменение свойств защищенного EAP. The Edit Protected EAP Properties dialog box opens.

Выберите Удалить , чтобы удалить тип EAP Secure Password (EAP-MSCHAP v2). Select Remove to remove the Secured Password (EAP-MSCHAP v2) EAP type.

Выберите Добавить. Select Add. Откроется диалоговое окно Добавление EAP. The Add EAP dialog box opens.

Выберите смарт-карта или иной сертификат, а затем нажмите кнопку ОК. Select Smart Card or other certificate, then select OK.

Нажмите кнопку ОК , чтобы закрыть диалоговое окно Изменение свойств защищенного EAP. Select OK to close Edit Protected EAP Properties.

Выберите Далее. Select Next.

В разделе Указание групп пользователей выполните следующие действия. In Specify User Groups, complete the following steps:

Выберите Добавить. Select Add. Откроется диалоговое окно Выбор пользователей, компьютеров, учетных записей служб или групп. The Select Users, Computers, Service Accounts, or Groups dialog box opens.

Введите VPN-пользователей, а затем нажмите кнопку ОК. Enter VPN Users, then select OK.

Выберите Далее. Select Next.

В окне укажите IP-фильтры нажмите кнопку Далее. In Specify IP Filters, select Next.

В окне укажите параметры шифрования нажмите кнопку Далее. In Specify Encryption Settings, select Next. Не вносите никаких изменений. Do not make any changes.

Эти параметры применяются только к подключениям шифрования «точка-точка» (MPPE), которые не поддерживаются этим сценарием. These settings apply only to Microsoft Point-to-Point Encryption (MPPE) connections, which this scenario doesn’t support.

В окне укажите имя области нажмите кнопку Далее. In Specify a Realm Name, select Next.

Выберите Готово, чтобы закрыть мастер. Select Finish to close the wizard.

Автоматическая регистрация сертификата сервера политики сети Autoenroll the NPS Server Certificate

В этой процедуре вы вручную обновляете групповая политика на локальном сервере NPS. In this procedure, you refresh Group Policy on the local NPS server manually. Когда групповая политика обновляется, если автоматическая регистрация сертификатов настроена и работает правильно, локальный компьютер автоматически регистрирует сертификат центром сертификации (ЦС). When Group Policy refreshes, if certificate autoenrollment is configured and functioning correctly, the local computer is auto-enrolled a certificate by the certification authority (CA).

Групповая политика обновляется автоматически при перезагрузке компьютера, который является членом домена, или при входе пользователя в систему компьютера, который является членом домена. Group Policy refreshed automatically when you restart the domain member computer, or when a user logs on to a domain member computer. Кроме того, групповая политика периодически обновляет. Also, Group Policy periodically refreshes. По умолчанию это периодическое обновление происходит каждые 90 минут со случайным смещением в течение 30 минут. By default, this periodic refresh happens every 90 minutes with a randomized offset of up to 30 minutes.

Членство в группах « Администраторы» или «эквивалентное» является минимальным требованием для выполнения этой процедуры. Membership in Administrators, or equivalent, is the minimum required to complete this procedure.

PROCEDURE Procedure:

На сервере политики сети откройте Windows PowerShell. On the NPS, open Windows PowerShell.

В командной строке Windows PowerShell введите gpupdate и нажмите клавишу ВВОД. At the Windows PowerShell prompt, type gpupdate, and then press ENTER.

Дальнейшие действия Next steps

Шаг 5. Настройте параметры DNS и брандмауэра для Always On VPN. на этом шаге настройте DNS и параметры брандмауэра для VPN-подключения. Step 5. Configure DNS and firewall settings for Always On VPN: In this step, configure DNS and firewall settings for VPN connectivity.