我们都知道,Windows Server2008的×××有三种类型:PPTP、L2TP/IPSec、SSTP。而对于SSTP×××直接走443端口,增加了通用性。而对于ISA2004/2006均不可以实现这种类型的×××,而最近微软发布的新产品TMG增加了对SSTP×××的支持,今天我们就来看一下,这三种类型的×××在TMG下的实现方式:
对于本内容我们分三次进行,先来看最简单的PPTP ×××的实现解决方案。我们的重点解决SSTP的×××,但在解决之前,我们可能要进行一系列的测试工作,避免不了使用PPTP或L2TP/IPSec,所有干脆一并在这里一一道来,成为一个×××解决系列。
前言:
对于×××的工作过程,不外乎两个阶段:身份验证和授权,对于身份验证说白了其实就是对用户进行合法性验证,即是否是对应数据库里的用户,并且密码验证也通过。授权,即该用户必须有拔入权限。
实验拓朴:
三台机器,所有配置如上所示,初始环境已经搭建结束,如W08a是DC和DNS,CA并没有安装。W08c是TMG服务器,并已经安装了TMG,远程客户端win7的TCP相关配置如上。接下来我们来看PPTP×××的实现过程:
一、在TMG服务器上完成PPTP的相关配置:
如下图,打开开始菜单,运行TMG:
单击“远程访问策略(×××)”,我们看到有“×××客户端和远程站点”两种类型的×××。在这里我们选择“×××客户端”,并单击“定义地址分配”一项,为将来拔上来的客户端分配相应的地址池,如下图所示:
注意:在这里我们分配地址池有两种方式:静态指定和DHCP,我们选择静态,这里的地址范围必须不能是所使用的地址范围,如内部是10.1.1.0/24,这里必须是不同于上述子网的。
上图确定后,再次单击如下的“配置×××客户端访问”,选择相应的协议,我们看到有三种类型的×××,在这里我们选择PPTP。确定。
回到页面后,我们单击“启用×××客户端访问”。然后我们单击如下的“应用”,这项结束后,如果是以前的2004或2006的标准版,我们就可以测试了,但对于TMG2010我们还必须单击“监视”项中的“配置”,查看服务器和配置存储是否同步,这点和以前的企业版是类似的。如下几图,最终应用的成功。
二、配置远程客户端的PPTP ×××的拔号连接:
打开“网络和共享中心”,如下图,单击“设置新的连接或网络”,接下来一系列的过程如示:
如上图,我们输入TMG的公网的IP地址,下图我们输入的用户名是哪里的?注意在本实验中,TMG服务器并没有加入域,我们也没有搭建RADIUS服务器,故我们用的用户帐号便是TMG的本地用户!!!
然后我们来设置一下这个拔号连接的属性,设置使用PPTP方式来连接:
注意:如果我们不设置PPTP,默认使用“自动”也可以进行连接,但速度会比较慢,因为要尝试多种连接,故建议指定你的×××连接主要为好。
如下图,我们来拔号试试,结果提示无法拔入,分析原因?
不能拔入的原因很简单,我们并没有开户用户的拔入的权限,故接下来,我们完成第三步:
三、在TMG上开启相应用户的拔入权限:
运行lusrmgr.msc,打开“本地用户和组”,并双击用户夹中的adminisrator,设置“拔入”项--允许拔入。如下所示:
我们回到远程客户端,再次重试连接,连接成功!并获得了相应的IP,但如果你尝试联系内网并访问内网共享资源,却不能成功!?如下图:
分析原因:其实这也正是TMG跑×××和2008跑×××的最大的区别,2008跑×××只要你能拔号连入,意味着你也就可以访问内网资源了(NAP×××除外),但TMG下的×××,即使你拔上来,默认还是不能访问资源的,你还必须在TMG作相应的“阵列访问规则”。接下来,我们来完成第四步:
四、在TMG上创建阵列访问规则:
如下所示:在防火墙策略上新建一条“访问规则”:如下一系列图示。
如上图,仅为测试,故选择所有出站通讯,若在生产环境里,根据情况定义,此处略。
如上图,单击确定后,稍等一会,因为要完成同步过程。再回来远程客户端测试如下:
小结:其实在TMG上跑×××,也是使用windowsServer2008上的“路由和远程访问”功能,如果你打开“路由和远程访问”控制台,便会看到该组件的×××功能已经配置好了。但此时你最好不要再通过此控制台配置×××。(我们都知道2008的这个组件默认是不安装的,看来我们在安装TMG时被自动安装的)
