Настройка сервера Active Directory

В статье описана настройка сервера Microsoft Active Directory для работы с Ideco NGFW VPP.

Для работы авторизации через журнал безопасности выполните настройку на основном контроллере домена. Перед настройкой убедитесь, что Ideco NGFW VPP уже введен в домен.

1. В настройках брандмауэра Windows на всех контроллерах домена разрешите Удаленное управление журналом событий (Remote Event Log Management):

2. Добавьте Ideco NGFW VPP в группу безопасности Читатели журнала событий (Event Log Readers):

Зайдите в Диспетчер серверов, кликните на AD DS, правой кнопкой мыши нажмите на строку с нужным сервером и в выпадающем списке выберите Пользователи и компьютеры Active Directory:

Откройте Свойства компьютера Ideco NGFW VPP, введенного в домен (на скриншоте - idecongfw). Перейдите на вкладку Член групп и нажмите на кнопку Добавить. В появившемся окне нажмите на кнопку Дополнительно и добавьте Читатели журнала событий (Event Log Readers) через кнопку Поиск:

3. Перезапустите службу Авторизация через журнал безопасности Active Directory на Ideco NGFW VPP. Для этого отключите эту опцию, а затем снова включите.

При изменении стандартной политики безопасности контроллеров домена выполните действия:

Англоязычная версия

1. Откройте Group policy management.

2. Выберите Forest: Доменное имя AD -> Domains -> Доменное имя AD.

3. Нажмите правой кнопкой мыши по Default Domain policy и выберите Edit.

4. В открывшемся окне перейдите по пути Computer configuration -> Policies -> Windows Settings -> Security Settings -> Advanced Audit Policy Configuration -> Audit Policies -> Logon/Logoff.

5. Дважды кликните по Audit Logon.

6. В открывшемся окне на вкладке Policy включите Configure the following audit event и выберите Success.

7. Нажмите Apply и OK.

8. В папке Audit Policies перейдите в Account Logon.

9. Дважды кликните по Audit Kerberos Authentication Service и повторите действия из пункта 6.

10. Повторите пункты 8 и 9 для Audit Kerberos Service Ticket Operations.

Русскоязычная версия

1. Откройте Управление групповой политикой.

2. Выберите Лес: Доменное имя AD -> Домены -> Доменное имя AD.

3. Нажмите правой кнопкой мыши по Default Domain policy и выберите Изменить.

4. В открывшемся окне перейдите по пути Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Конфигурация расширенной политики аудита -> Политики аудита -> Вход/Выход.

5. Дважды кликните по Аудит входа в систему.

6. В открывшемся окне на вкладке Политика включите Настроить следующие события аудита и выберите Успех.

7. Нажмите Применить и OK.

8. В папке Политики аудита перейдите в Вход учетной записи.

9. Дважды кликните по Аудит службы проверки подлинности Kerberos и повторите действия из пункта 6.

10. Повторите пункты 8 и 9 для Аудита операций с билетами службы Kerberos.

4. Откройте командную строку и пропишите статический маршрут на контроллере домена AD до пользовательского интерфейса:

route -p add 192.168.200.0 mask 255.255.255.0 192.168.100.1

192.168.200.0 - сеть пользовательского интерфейса.
192.168.100.1 - маршрутизатор в сети интерфейса администрирования.

5. Укажите в качестве DNS-сервера на контроллере домена AD loopback адрес (127.0.0.1).

Для обновления политик контроллера домена в терминале выполните команду gpupdate /force.

Если авторизация пользователей при входе в систему не происходит, проверьте в журнале безопасности наличие событий 4768, 4769, 4624. Чтобы просмотреть журнал, воспользуйтесь встроенным приложением Просмотр событий (Event Viewer). Находится в меню Пуск -> Просмотр событий.

PreviousАутентификация пользователей AD/Samba DC NextНастройка клиентских машин

Last updated 20 days ago

Was this helpful?