[Destruction]

а почему одного ЦС вам недостаточно?

Цитата Ingolder:

Комп, который коннектится через интернет - должен быть введён в домен или нет? »

необязательно

Цитата Ingolder:

какими настройками это определяется? »

что вы имеете в виду?

[Ingolder]

Цитата Destruction:

а почему одного ЦС вам недостаточно? »

ну как бы майкрософт собственно настаивает на трёхуровневой цепочке, но собственно можно и из двух, если организация небольшая, т.е. тупо один рутовый и все остальные.
Одного недостаточно - это же рутовый, который надо отключать от сети и прятать, как в одно звено можно сделать? никак, только два. (Нет, ну можно то оно всё можно, но в производственной среде такое не катит).

Цитата Destruction:

что вы имеете в виду? »

я имею ввиду, где нужно "поставить галочку", чтобы по впн могли подсоединяться только те компы, которые в моём домене?
а так же, не только те, которые в домене.

[Destruction]

Цитата Ingolder:

ну как бы майкрософт собственно настаивает на трёхуровневой цепочке, но собственно можно и из двух, если организация небольшая, т.е. тупо один рутовый и все остальные. Одного недостаточно - это же рутовый, который надо отключать от сети и прятать, как в одно звено можно сделать? никак, только два. (Нет, ну можно то оно всё можно, но в производственной среде такое не катит). »

если планируется выдача сертификатов только для vpn, то вполне можно обойтись одним ЦС. я в свое время так и сделал. вот, почитайте статью по конфигурированию SSTP-сервера и посмотрите видео по настройке IKEV2-сервера

Цитата Ingolder:

я имею ввиду, где нужно "поставить галочку", чтобы по впн могли подсоединяться только те компы, которые в моём домене? »

собственно, подключаются к vpn не компы, а учетная запись - в AD для нее нужно разрешить "входящие звонки". а на компьютере необходимо будет установить соответствующие сертификаты в зависимости от используемого протокола.

[Ingolder]

За статьи спасибо. SSTP мне не нужен в данном случае, а вот видео я уже смотрел. У меня не получается сделать как там.
Первый косяк в том,что если я задаю шаблону сертификатов имя отличное от vpn reconnect, то в localhost/certsrv у меня нет такого пункта! не знаете почему? Второй косяк, что после инсталляции сертификата я не могу в оснастке сертификатов экспортировать сертификат с закрытым ключом, эта опция не доступна. На этом всё встало.

Сертификаты планируется раздавать не только для впн, пока что не решено что будет ещё(ненавижу, когда немогут сразу все заранее спланировать). Так что полюбому надо делать рутовый и подчиненные ЦС. Я пробовал создать подчинённый ЦС и в настройке, когда добавлял роль, нужно было указать что это подчинённый цс и выбрать рутовый, при выборе рутового происходила ошибка. Потом скажу какая )


зЫ
кстати, как сделать сстп по статье, только без ната, а только впн доступ? если я сделаю то же самое, но в момент настройки ремот акцесса выберу только впн доступ, а не доступ с натом, как в статье, то коннектиться не будет...