×××笔记
   写在前面,这些天忙碌着培训及工作计划落实,在很多繁杂的事情面前有些麻木了。我们崇尚简单直接的沟通,反而有些事情不断的讽刺和否定着。翻出以前的读书笔记,感慨,拿出来共享之。后续将陆续结合现有的分析,重新整理推出相应的记录,记录为框架性的,不涉及具体的操作。可能职业因素,很多时候思考的更多的是如何架构,如何将复杂的事情简单化。自勉。
 
1.       vm准备 DC;  MEMBER SERVER (×××SERVER)(两块网卡) ; ×××CLIENT;
2.       NEWSID清除SID加入域
3.       VM网卡建议调整为host模式避免干扰
4.       以域管理员身份登录memberserver,这样vpn的验证就可以到dc验证用户名了,否则类似于无域环境搭建,身份验证在本地SAM中,搭建vpnserver 简易配置
设置客户端获取的IP两种方式  手动设置和DHCP设置
如手动设置 建议和内网同一地址段 或者不同地址段 但是内网其他机器网关要指向××× server的内网网卡地址,否则×××客户端无法拨入其他机器,只能拨到vpn server;如果是内网同一网段地址则不用设置网关也可,类似局域网。此时××× client获得地址为手动地址段第二个地址开始,第一个地址被分配给××× server××× client pptp的网关为自己,dns则为××× server上的dns
如果是DHCP则可以让vpn client获得网关及dns地址。
5.       建立客户端到×××的网络连接
客户端通过更改选项可以设置是否显示域选项
6.       此时在客户端拨号,无法拨入,无权限
7.       MEMBER server或者DC 允许相应账号远程拨入。客户端拨入成功。
 
 
条件——权限——配置。
1.       提升DC为纯模式才可以设置 拨入 通过远程策略控制;否则此选项为灰色;
2.       ×××server的远程访问策略 修改相应策略的条件 权限 及配置
3.       DC上更改允许拨入 为通过 远程访问策略控制; 重启使之生效(有保障,或者强制刷新策略)
4.       DC重启完毕后验证策略是否生效  客户端 拨入验证(可采用组、时间、ip段等常见方式设置,或者配置文件的加密方式等)
5.       远程访问策略 如果第一条匹配将不再继续检查
Eg:第一条拒绝c1账号拨入,第三条允许,实际为不允许。
6.       ×××server中可以让 PPTPL2TP更改端口数量,用于控制拨入的总体数量;可以在远程访问客户端中断开连接。
 
 
 
IAS
1.       相当于在vpn serverisa客户端)和DC之间多了个传递,ISA服务器(RADIUS)可以统一管理多个客户端的验证,记录,审核等工作。
2.       DC上安装因特网验证组件,然后添加RADIUS客户端,配置共享密钥。
3.       ××× serverisa client)上更改安全选项,将身份验证和记账均更改为RADIUS认证,配置密钥。
4.       利用客户端验证。
5.查看记录文件。(配置isa的记录类型及周期)