我们都知道,Windows Server 2008的×××有三种类型:PPTP、L2TP/IPSec、SSTP。而对于SSTP×××直接走443端口,增加了通用性。而对于ISA2004/2006均不可以实现这种类型的×××,而最近微软发布的新产品TMG增加了对SSTP×××的支持,今天我们就来看一下,这三种类型的×××在TMG下的实现方式:

对于本内容我们分三次进行,这是我们的第三次课,SSTP ×××的实现过程:

前言:

对于×××的工作过程,不外乎两个阶段:身份验证和授权,对于身份验证说白了其实就是对用户进行合法性验证,即是否是对应数据库里的用户,并且密码验证也通过。授权,即该用户必须有拔入权限。

实验拓朴:

clip_p_w_picpath001

三台机器,所有配置如上所示,初始环境已经搭建结束,如W08a是DC和DNS,CA并没有安装。W08c是TMG服务器,并已经安装了TMG,远程客户端win7的TCP相关配置如上。接下来我们来看SSTP×××的实现过程:

分析:

1. 要实现SSTP×××我们必须要有CA服务器,即必须为TMG这台服务器准备计算机证书,同时为远程客户端安装CA的根证书。当然如果在生产环境里,我们完全可以去商业CA那里为TMG服务器申请并购买计算机证书,在这里我们为了测试就直接在企业内部搭建自己的CA了。

2.远程客户端在使用SSTP的方式连接TMG时,必须要下载TMG的服务器证书,当然也必须有能力验证该证书的有效性,即远程客户端必须能联系CA的证书吊销服务器,由于我们在企业内部搭建的CA服务器,故我们必须在TMG上把内部的证书吊销服务器的WEB站点发布到公网。

3.远程客户端必须使用TMG服务器证书的名字来联系TMG服务器并下载该服务器的证书。故必须保证在远程客户端上通过公网DNS可以解析TMG服务器的名称为TMG服务器公网网卡的IP,在这里,由于是测试环境,我们采用Hosts文件实现名称的解析。

大致步骤:

一、解决证书问题:

1.在企业内部搭建根CA(独立CA),同时安装WEB申请组件。

2.在TMG上申请计算机证书并下载CA的根证书并安装到计算机存储列表中。

3.在远程客户端下载CA的根证书并安装到计算机存储列表中。

二、TMG上的配置:

1.在TMG上完成SSTP ×××的配置并创建相应的访问规则及用户拔入权限。

2.在TMG上完成内部证书吊销服务器WEB站点的发布。

三、远程客户端的配置:

1.在Win7上创建×××拔号连接

2.修改Hosts文件

3.并测试。

四、总结


实现过程:

一、解决证书问题:

1.在企业内部搭建根CA(独立CA),同时安装WEB申请组件。

2.在TMG上申请计算机证书并下载CA的根证书并安装到计算机存储列表中。

3.在远程客户端下载CA的根证书并安装到计算机存储列表中。

有关证书问题,各位可以参考《TMG实现L2TP/IPSec ×××---TMG2010 ×××系列之二》,注意在配置L2TP/IPSec×××时我们在客户端也申请了计算机证书,但在SSTP ×××中,我们可以只为客户端下载CA的根证书就可以了。

详细的操作,此外略。

二、TMG上的配置:

1.在TMG上完成SSTP ×××的配置并创建相应的访问规则及用户拔入权限。

此处配置,基本上和《TMG实现L2TP/IPSec ×××---TMG2010 ×××系列之二》类似,唯一不同我们选择×××协议是SSTP,并且要创建一个“侦听器”,具体操作如下所示:

(PS:所谓侦听器,也就是我们需要确定让我们的TMG在哪个网络接口接收客户端的访问请求,在这里由于实现SSTP的×××,所以需要在TMG公网卡的443端口侦听来公网的请求,并且我们需要选择一个证书,当客户端连接此网络接口时,TMG会把该证书传送给客户端。从而实现将来的安全通信)

clip_p_w_picpath002

如下图,我们单击“新建”,如下:

clip_p_w_picpath003


clip_p_w_picpath004


clip_p_w_picpath005


clip_p_w_picpath006


clip_p_w_picpath007


clip_p_w_picpath008


clip_p_w_picpath009


clip_p_w_picpath010

2.在TMG上完成内部证书吊销服务器WEB站点的发布。

分析:当远程客户端从TMG下载到证书之后,需要联系“证书吊销服务器”来验证该证书是否有效,故在×××未建立之前远程客户端必须有联系证书吊销服务器,因为在我们实验环境里,CA和证书吊销服务器均是内网的w08a.contoso.com,所以我们必须通过“WEB服务器发布规则”把证书吊销服务器的WEB站点发布出来。

(1)创建Web侦听器:

如图所示,选择“新建WEB侦听器”。

clip_p_w_picpath011


clip_p_w_picpath012


clip_p_w_picpath013


clip_p_w_picpath014


clip_p_w_picpath015


clip_p_w_picpath016

(2)新建WEB发布规则:

具体操作过程如下:

clip_p_w_picpath017


clip_p_w_picpath018


clip_p_w_picpath019


clip_p_w_picpath020


clip_p_w_picpath021


clip_p_w_picpath022


clip_p_w_picpath023


clip_p_w_picpath024


clip_p_w_picpath025


clip_p_w_picpath026


clip_p_w_picpath027

到如上,也可以单击上图中的“测试规则”,如果有问题也有相应的提示。

三、远程客户端的配置:

1.在Win7上创建×××拔号连接

基本上和L2TP/IPSec ×××的拔号创建差不多,唯一不同的,选择×××类型为SSTP,并且连接从IP改为名字。如下所示:

clip_p_w_picpath028


clip_p_w_picpath029

2.修改Hosts文件

如上,要保证w08c能解析为172.16.1.1,此外还要能保证当从远程客户端访问http://w08a.contoso.com时能定位到CA服务器,所以我们通过Hosts文件的来完成名字解析,修改如下:

以管理员身份运行cmd(什么!不会!哈哈,右击CMD,选择“以管理员身份运行”就可以了),输入以下命令:

clip_p_w_picpath030

保存关闭文件即可。

3.并测试。

clip_p_w_picpath031

四、总结:

配置SSTP ×××关键点:

1.证书的申请并安装。

2.证书吊销服务器的发布。

而查看证书吊销服务器可以通过证书文件来查看,如下图所示:

clip_p_w_picpath032

因此在公网能访问此WEB站点。名字当然也必须一样的。