|
在前面兩篇文章中�����,介紹了如何設(shè)置WINDOWS 2008作為VPN�、NAT服務(wù)器角色��,以及如何設(shè)置DC成為AD CA服務(wù)器����。接下來(lái)���,將重點(diǎn)放在SSTP VPN客戶(hù)端���,通過(guò)配置來(lái)實(shí)現(xiàn)SSTP技術(shù)的應(yīng)用�。
同時(shí)���,我們強(qiáng)烈建議對(duì)企業(yè)根CA不了解的朋友�����,在網(wǎng)絡(luò)上找相關(guān)資料加深了解���。學(xué)會(huì)使用GOOGLE是一個(gè)不錯(cuò)的建議���。
六�����、在DC上配置撥入連接賬號(hào)
無(wú)論WINDOWS的任何版本,在使用VPN技術(shù)時(shí)�,都應(yīng)當(dāng)在VPN服務(wù)器創(chuàng)建用戶(hù)賬戶(hù)����,并充許其撥入的權(quán)限�。
WINDOWS 2008有所不同的時(shí),用戶(hù)賬號(hào)屬性中"撥入"的"網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限"增加了一項(xiàng)"通過(guò)NPS網(wǎng)絡(luò)策略控制訪(fǎng)問(wèn)"。這是一個(gè)不錯(cuò)的主意:通過(guò)網(wǎng)絡(luò)策略來(lái)充許達(dá)到策略要求的撥入賬戶(hù)訪(fǎng)問(wèn)或有限訪(fǎng)問(wèn)特殊的網(wǎng)絡(luò)(如企業(yè)內(nèi)部網(wǎng)絡(luò))。安全性上有很大的提升,管理上也更加方便���。但NPS不是這次實(shí)驗(yàn)的主要目的����,而且并沒(méi)有安裝此角色服務(wù)���。
在此場(chǎng)景中���,用戶(hù)賬號(hào)撥入的網(wǎng)絡(luò)權(quán)限仍與之前WINDOWS版本的做法相同:充許訪(fǎng)問(wèn)����。
1����、在DC機(jī)器中,依次打開(kāi)--開(kāi)始-管理工具-Active Directory 用戶(hù)和計(jì)算機(jī)�����。
2�、展開(kāi)至"用戶(hù)"節(jié)點(diǎn),在右側(cè)面板中選擇administrator,右鍵屬性��,在撥入-網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限---充許訪(fǎng)問(wèn)前面打上對(duì)勾。
這里需要說(shuō)明的是,由于是域環(huán)境����,且SSTP VPN服務(wù)器是域成員服務(wù)器��,所以只需在DC上充許一個(gè)賬戶(hù)具有撥入訪(fǎng)問(wèn)權(quán)限便可。(圖1)
.jpg)
七、在AD CA服務(wù)器上配置IIS�����,以使能通過(guò)HTTP連接至CRL目錄
基于一些原因,使用安裝向?qū)О惭b證書(shū)服務(wù)WEB站點(diǎn)時(shí),會(huì)設(shè)置成需要SSL 連接至CRL目錄�。從安全角度來(lái)說(shuō)��,看起來(lái)是一個(gè)好主意,但問(wèn)題是連接至證書(shū)在線(xiàn)注冊(cè)申請(qǐng)站點(diǎn)的URL并不使用SSL。
由此,在進(jìn)行接下來(lái)的操作之前�,先要確認(rèn)CRL目錄并不需要使用SSL 連接��。
1、在DC機(jī)器中,依次打開(kāi)--開(kāi)始-管理工具-Internet信息服務(wù)(IIS)管理器
2�����、展開(kāi)至"CertEnroll"節(jié)點(diǎn)�,并選擇中間控制面板下方的"內(nèi)容視圖"�,這些就是CRL目錄的內(nèi)容了。(圖2)
.jpg)
3��、在同一窗口中���,選擇"功能視圖"����,并找到"SSL 設(shè)置"項(xiàng),雙擊后可以看到"需求SSL"前面的按鈕是灰色的�。OK���,這就說(shuō)明不需要SSL連接�。(圖3)
.jpg)
八�����、在SSTP VPN客戶(hù)端設(shè)置HOSTS文件
在生產(chǎn)環(huán)境中,這一步是可以省略的����,只需要在域名ISP那注冊(cè)相應(yīng)域名便可以����。但本場(chǎng)景為實(shí)驗(yàn)環(huán)境��,最大的區(qū)別就是在于沒(méi)有新建DNS來(lái)解析���。
OK���,在SSTP VPN客戶(hù)端,運(yùn)行命令notepad c:\windows\system32\drivers\etc\hosts(注意,在保存之前應(yīng)確保這個(gè)文件具有被修改的權(quán)限喲)��,然后輸入:
166.111.8.2 sstp.contoso.com
166.111.8.2 win2k8dc.contoso.com(這個(gè)為域控的�,可以省去)(圖4)
.jpg)
本文出自:億恩科技【m.jfb888.cn】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)����!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商����!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
