Windows Azure SSTP模式××× Client使用AD域用户验证登录
我们上面一篇文章介绍了,如何在Windows Azure下搭建SSTP模式的vpn服务,搭建配置后我们遗留了一个,什么问题呢,我们都知道,一般的独立vpn是使用独立的账户及密码的,尤其是托管到外面的vpn服务器,无法使用AD域用户验证。这样会造成vpn用户拥有两套用户及密码,管理起来很不方便。再说说我的环境,我的环境是把×××服务器放在了Windows Azure上,这样算来也是托管类型的,但是windows azure毕竟是微软出的,AD也是微软的,在设计上肯定考虑了,最终呢托管到windows azure 的vpn服务可以跟AD做集成了,vpn用户可以使用AD域用户进行验证访问。那怎么实现呢?其实呢办法有很多,但是最为有效的办法建议是在windows azure上搭建辅助DC,这样除了给vpn服务器提供验证服务外,还可以给你其他的windows azure上运行的服务提供验证,比如Sharepoint、Exchange(GC)、SQL Server、Web 服务等,我最终也选择了在Windows Azure 上搭建辅助AD域,搭建辅助DC的步骤我们就不介绍了,在本人的额博客中有详细介绍,当然在Windows Azure 上搭建辅助DC是有前提的,在windows azure上搭建辅助域,我们首先要将本地网络与Windows Azure上的额虚拟网络通过站点到站点的vpn方式打通,才能部署AD服务,当然也可以不打通,但是必须将本地的AD域389等端口发布到公网上,这样来说不安全,所以不建议这么做,还是建议启用站点到站点的×××,关于站点到站点的vpn搭建我们已经在前面的文章中详细介绍了。接下来我们主要介绍如何在Windows Azure 的×××使用AD做验证。
首先提前我在windows azure内搭建了一个辅助的域环境。然后将我的vpn服务器加入到该域内。
Windows azure 当前的域服务状态。而且目前有一个sam管理账户
然后我们将vpn服务器加入到域iiosoft.com
重启后,我们在AD内创建vpn账户组,该组提供vpn账户的权限授权
然后将sam用户添加到改vpn组内
同时我们在vpn服务器上 新建一个组,然后将ad内创建的azurevpn_group添加进去该vpn本地组内即可
然后将AD内创建的vpn组添加到vpn本地vpn组内
创建完成
组内的成员组
然后添加后,我们使用客户端拨该试试哈
Vpn协议是SSTP
我们使用sam用户登录
Vpn拨入成功
然后我们在路由和远程访问中查看vpn client拨入状态。
当前拨入的用户是域内的iiosoft\sam
我们再次在AD内创建一个账户gaowenlong试试,然后同时将该用户添加到azurevpn组内即可
同时设置用户属性允许拨入
我们使用域内用户gaowenlong拨入
拨入成功
我们使用路由和远程访问查看域内的gaowenlong用户也拨入成功。
Iiosoft\gaowenlong
