在之前我为大家介绍了基于ISA 2006 构建企业员工×××连接平台的内容,今天呢再把基于TMG 2010如何搭建×××平台给大家介绍一下,大体的过程是一样的,只是有一些步骤上由于Windows Server 2008与Windows Server 2003的区别,所以今天呢我也完整地介绍一下在TMG 2010配置PPTP ×××、基于证书的L2TP IPSEC ×××与基于密钥的L2TP IPSEC ×××的区别,以便大家在配置时区分对比,同时希望能给大家的工作带来一些方便。

      好了下边我们就一起来了解一下完整配置过程吧。

 

1. 实验拓扑图

clip_p_w_picpath002

2. 服务器W2K8R2系统参数

BJ-DC-01

服务:

Active Directory

Domain Name:T.CN

DNS

IP配置:

Host Name:BJ-DC-01

Primary DNS Suffix:T.CN

DNS Suffix Search List:T.CN

Ethernet adapter Local Area Connection:

IP Address: 192.168.1.2

Subnet Mask: 255.255.255.0

Default Gateway: 192.168.1.1

DNS Server: 192.168.168.1.2

使用默认安装,使用Dcpromo提升为DC.

BJ-CA-01

服务:Certificate Services

IP配置:

Host Name:BJ-CA-01

Primary DNS Suffix:T.CN

DNS Suffix Search List:T.CN

Ethernet adapter Local Area Connection:

IP Address: 192.168.1.3

Subnet Mask: 255.255.255.0

Default Gateway: 192.168.1.1

DNS Server: 192.168.168.1.2

使用默认安装,并手动设置IP配置,加入到T.CN域,作为成员服务器.

BJ-×××-01

服务:Virtual Private Network Services

IP配置:

Host Name:BJ-×××-01

Primary DNS Suffix:T.CN

DNS Suffix Search List:T.CN

Ethernet adapter Local Area Connection:(内部网卡)

IP Address: 192.168.1.1

Subnet Mask: 255.255.255.0

Default Gateway:

DNS Server: 192.168.1.2

Ethernet adapter Local Area Connection:(外部网卡)

IP Address: 10.1.1.1

Subnet Mask: 255.255.255.0

Default Gateway:

DNS Server:

使用默认安装,并手动设置IP配置,加入到T.CN域,作为成员服务器.

Home-PC-01

IP配置:

Host Name:Home-PC-01

Primary DNS Suffix:

DNS Suffix Search List:

Ethernet adapter Local Area Connection:

IP Address: 10.1.1.2

Subnet Mask: 255.255.255.0

Default Gateway:

DNS Server:

3. BJ-DC-01配置

1) 登录BJ-DC-01服务器;

2) 单击“开始”/“运行”,输入“Dcpromo”;

3) 在“欢迎使用Active Directory域服务安装向导”页面中,单击“下一步”按钮;

4) 在“操作系统兼容性”页面中,单击“下一步”按钮;

5) 在“选择某一部署配置”页面中,选择“在新林中新建域”;

6) 在“命名林根域”页面中,输入目录林根级域的FQDN名“T.CN”;

7) 在“设置林功能级别”页面中,选择林功能级别为“Windows Server 2008 R2”然后单击“下一步”按钮;

8) 在“其他域控制器选项”页面中,单击“下一步”按钮;

9) 在下图所示的警告页面中,单击“是”按钮;

clip_p_w_picpath003

10) 在“数据库、日志文件和SYSVOL的位置”页面中,单击“下一步”按钮;

11) 在“目录服务还原模式的Administrator密码”页面中,根据实际情况输入还原密码后单击“下一步”按钮;

12) 在“摘要”页面中,单击“下一步”按钮;

13) 在下图所示页面中,勾选“完成后重新启动”;

clip_p_w_picpath005

14) 单击“开始”/“管理工具”/“Active Directory用户和计算机”;

15) 在打开的“Active Directory用户和计算机”窗口中,新建用户WangTingdong及安全组“×××_LIST”;

16) 双击WangTingdong帐号,打开的属性对话框中,勾选“允许拨入”,并将此用户加入“×××_LIST”组中,D 然后单击“确定”按钮;

4. BJ-CA-01安装证书功能

1) 登录BJ-CA-01服务器;

2) 打开“服务器管理器”,选择“角色”/“添加角色”;

3) 在打开的“开始之前”页面中,单击“下一步”按钮;

4) 在选择“服务器角色”页面中,勾选“Active Directory证书服务”,单击“下一步”按钮;

5) 在“Active Directory证书服务简介”页面中,单击“下一步”按钮;

6) 在“选择角色服务”页面中,勾选“证书颁发机构”和“证书颁发机构Web注册”,在弹出的“添加角色向导”页面中,单击“添加所需的角色服务”后,单击“下一步”按钮;

7) 在“指定安装类型”页面中,勾选“企业”,单击“下一步”按钮;

8) 在“指定CA类型”页面中,勾选“根CA”,单击“下一步”按钮;

9) 在“设置私钥”页面中,勾选“新建私钥”,单击“下一步”按钮;

10) 在“为CA配置加密”页面中,单击“下一步”按钮;

11) 在“配置CA名称”页面中,根据实际情况填写“此CA的公用名称”,本例中,CA公用名称我们设置为Crop,如下图所示;

clip_p_w_picpath007

12) 在“设置有效期”页面中,根据实际设置CA有效时间,默认为5年,单击“下一步”按钮;

13) 在“配置证书数据库”页面中,单击“下一步”按钮;

14) 在“Web服务器(IIS)”页面中,单击“下一步”按钮;

15) 在“选择角色服务”页面中,单击“下一步”按钮;

16) 在“确认安装选择”页面中,单击“安装”按钮;

5. BJ-CA-01证书服务器配置

1) 单击“开始”/“管理工具”/“Internet信息服务(IIS)管理器”;

2) 如下图所示位置,双击“服务器证书”项;

clip_p_w_picpath009

3) 在下图所示页面中,单击“创建证书申请”;

clip_p_w_picpath011

4) 在下图所示的“可分辨名称属性”页中,根据实际情况填写,本例填写如下,填写完成后单击“下一步”按钮:

clip_p_w_picpath013

5) 在“加密服务提供程序属性”页面中,单击“下一步”按钮;

6) 在“文件名”页面中,将证书申请指定的文件存储至任意位置后,单击“完成”按钮,如下图所示;

clip_p_w_picpath015

7) 双击打开刚才存储好的证书申请文件certsrv.txt,复制文件内容,如下图所示;

clip_p_w_picpath017

8) 打开IE浏览器,在地址栏中输入“http://bj-ca-01.t.cn/certsrv”后回车;

9) 在弹出的登录提示框中,输入域管理员帐号及密码,单击“确定”按钮;

clip_p_w_picpath019

10) 在下图所示页面中,单击“申请证书”;

clip_p_w_picpath021

11) 在下图所示页面中,单击“高级证书申请”;

clip_p_w_picpath023

12) 在下图所示页面中,单击“使用base64编码……”;

clip_p_w_picpath025

13) 将之前certsrv.txt中复制的内容粘贴至下图所示保存的申请中,并选择证书模板为“Web服务器”,单击“提交”按钮;

clip_p_w_picpath027

14) 在下图所示的页中,单击“下载证书”;

clip_p_w_picpath029

15) 在弹出的文件下载安全警告对话框中,单击“保存”按钮,将下载的证书存储至任意位置;

16) 再次回到“Internet信息服务(IIS)管理器”中,在下图所示位置单击“完成证书申请”;

clip_p_w_picpath031

17) 在打开的“完成证书申请”页面,浏览选择刚才申请下载的certsrv.cer证书,根据实际情况输入“好记名称”,然后单击“确定”按钮;

clip_p_w_picpath033

18) 在下图所示位置,单击“绑定”;

clip_p_w_picpath035

19) 在打开的“网站绑定”对话框中,单击“添加”按钮;

20) 在“添加网站绑定”对话框中,选择“类型”为https,SSL证书选择刚才申请导入的证书certsrv后单击“确定”按钮,如下图所示;

clip_p_w_picpath037

21) 返回“网站绑定”对话框后,单击“关闭”按钮;

22) 之后将以https://bj-ca-01.T.CN/certsrv登录WEB页面申请证书;

6. BJ-×××-01安装

1) 将Forefront_TMG_Standard_2010安装光盘加载至光驱;

2) 在弹出的安装界面中,选择“运行准备工具” ,如下图所示;

3) 在“欢迎使用Microsoft Forefront Threat Management Gateway(TMG)准备工具”页面中,单击“下一步”按钮;

4) 在“许可协议”页面中,勾选“我接受许可协议中的条款”,单击“下一步”按钮;

5) 在“安装类型”页面中,勾选“Forefront服务和管理”后单击“下一步”按钮;

6) 在“准备就绪”页面中,单击“完成”按钮;

7) 在“欢迎使用Forefront TMG标准版安装向导”页面中,单击“下一步”按钮;

8) 在“许可协议”页面中,勾选“我接受许可协议中的条款”,单击“下一步”按钮;

9) 在“客户信息”页面中,单击“下一步”按钮;

10) 在“安装路径”页面中,单击“下一步”按钮;

11) 在“定义内部网络”页面中,单击“添加”按钮;添加内网网卡地址后单击“下一步”按钮,如下图所示;

clip_p_w_picpath039

12) 在“服务警告”页面中,单击“下一步”按钮;

13) 在“为安装程序做好准备”,单击“安装”按钮;

14) 在“安装向导完成”页面,单击“完成”按钮;

7. 启用PPTP功能

1) 单击“开始”/“所有程序”/“Microsoft Forefront”/“Forefront TMG管理”;

2) 在“入门向导”中,单击“配置网络设置”;

3) 在“欢迎使用网络安装向导”页面中,单击“下一步”按钮;

4) 在“网络模板选择”页面中,勾选“边缘防火墙”,单击“下一步”按钮;

5) 在“局域网(LAN)设置”页面中,选择连接内网的网卡,单击“下一步”按钮;

6) 在“Internet设置”页面中,选择连接外网的网卡,单击“下一步”按钮;

7) 在“正在完成网络安装向导”页面中,单击“完成”按钮;

8) 在返回的“入门向导”页面中,单击“配置系统设置”;

9) 在“欢迎使用系统配置向导”页面中,单击“下一步”按钮;

10) 在“主机标识”页面中,单击“下一步”按钮;

11) 在“正在完成系统配置向导”页面中,单击“完成”按钮;

12) 在返回的“入门向导”页面中,单击“定义部署选项”;

13) 在“欢迎使用部署向导”页面中,单击“下一步”按钮;

14) 在“Microsoft Update设置”页面,根据实际情况设置是否启用Windows Update服务后,单击“下一步”按钮;

15) 在“Forefront TMG保护功能设置”页面中,单击“下一步”按钮;

16) 在“客户反馈”页面中,根据实际进行设置后单击“下一步”按钮;

17) 在“Microsoft遥测报告服务”页面,根据实际进行设置后单击“下一步”按钮;

18) 在“正在完成部署向导”页面中,单击“完成”

19) 在下图所示的TMG管理控制台中,选择“远程访问策略(×××)”

clip_p_w_picpath041

20) 在下图所示页面中,单击“配置地址分配方法”;

clip_p_w_picpath043

21) 在“远程访问策略(×××)属性”对话框中,如下图所示为远程连接×××用户设置连接后所分配的地址段“192.168.2.1~192.168.2.200”,设置完成后,单击2次“确定”按钮,退出属性设置对话框;

clip_p_w_picpath045

22) 返回“TMG管理控制台”如下图所示,单击“指定Windows用户”,如下图所示;

clip_p_w_picpath047

23) 在“×××客户端属性”页面中“常规”选项卡中勾选“启用×××客户端访问”,关于“允许的最大×××客户端数量”请根据实际要求设置即可,设置完成后单击“确定”按钮;

clip_p_w_picpath049

24) 在“×××客户端属性”/“组”选项卡中,添加之前创建的“×××_LIST”组,如下图所示;

clip_p_w_picpath051

25) 在“×××客户端属性”/“协议”选项卡中,勾选“启用PPTP”后单击“确定”按钮,如下图所示;

clip_p_w_picpath052

26) 在返回的“TMG控制台”页面中,单击“应用”按钮,根据提示完成后后续操作,如下图所示;

clip_p_w_picpath054

8. 验证PPTP连接

1) 以本地管理员身份登录Home-PC-01客户端;

2) 在“打开或关闭Windows功能”页面中,添加Telnet客户端,如下图所示;

clip_p_w_picpath056

3) 打开“命令提示符”窗口,输入“Telnet 10.1.1.1 1723”,检查是否可能连接PPTP端口1723,如可以连接则显示下图所示内容;

clip_p_w_picpath058

4) 打开“网络和共享中心”属性对话框,如下图所示选择“设置新的连接或网络”;

clip_p_w_picpath060

5) 在打开的“选择一个连接选项”页面中,选择“连接到工作区”然后单击“下一步”按钮;

6) 在“你想如何连接?”选择页面中,选择“使用我的Internet连接(×××);

7) 在“您想在继续之前设置Internet连接吗”页面中,选择“我将稍后设置Internet连接”;

8) 在“键入要连接的Internet地址”页面中,Internet地址输入“10.1.1.1”,目标名称处输入“×××.T.CN”当然此处名字可随意填写,单击“下一步”按钮;

9) 在“键入您的用户名和密码”页面中,输入用户名及密码后,单击“创建”按钮;

10) 在“连接已经可以使用”页面中,单击“关闭”按钮;

11) 在打开的×××连接对话框中,进行下图内容填写、设置后,单击“连接”按钮;

clip_p_w_picpath062

12) 打开×××.T.CN连接属性,可以看到如下图所连接方式为PPTP;

clip_p_w_picpath064

9. 启用基于证书L2TP IPSCE ×××功能

1) 以域管理员身份登录BJ-×××-01服务器;

2) 由于是测试环境,我们新建一条允许所有网络到所有网络出站通信的策略,生产环境中请自行设置策略保证×××服务器可以访问内部证书服务器进行证书申请;

clip_p_w_picpath066

3) 打开IE浏览器,在地址栏中输入证书服务器地址https://bj-ca-01.T.CN/certsrv

4) 在下图所示页面中,单击“继续浏览此网站(不推荐)”;

clip_p_w_picpath068

5) 在弹出的登录提示框中,输入域管理员帐号,如下图所示;

clip_p_w_picpath070

6) 在下图所示页面中,选择“申请证书”;

clip_p_w_picpath072

7) 在下图所示页面中,选择“高级证书申请”;

clip_p_w_picpath074

8) 在下图所示页面中,选择“创建并向此CA提交一个申请”;

clip_p_w_picpath076

9) 在弹出的“Web访问确认”对话框中,单击“是”;

clip_p_w_picpath078

10) 在下图所示的页面中,证书模板选择“系统管理员”,勾选“标记密码为可导出”及“将证书保存在本地计算机存储中”,然后单击“提交”按钮;

clip_p_w_picpath080

11) 在下图所示警告页面中,单击“是”;

clip_p_w_picpath081

12) 在下图所示页面中,单击“安装此证书”;

clip_p_w_picpath083

13) 安装成功后,系统将提示如下内容;

clip_p_w_picpath085

14) 单击“开始”/“运行”,在“运行”框中输入MMC,打开MMC控制台;

15) 在控制台窗口中,单击“文件”/“添加删除管理单元”;

clip_p_w_picpath086

16) 在“添加或删除管理单元”页面中,选择“证书”,单击“添加”按钮;

17) 在弹出的“证书管理”中,选择“我的用户帐户”,单击“完成”按钮;

18) 重复步骤16-17将“计算机帐户”一并添加至管理控制台中;

19) 展开至“证书-当前用户”/“个人”/“证书”,如下图所示,右键单击证书,选择“导出”;

clip_p_w_picpath088

20) 在打开的“证书导出向导”页面,单击“下一步”按钮;

21) 在“导出私钥”页面中,勾选“是,导出私钥”,单击“下一步”按钮;

22) 在“导出文件格式”页面中,单击“下一步”按钮;

23) 在“密码”页面中,输入2次密码,单击“下一步”按钮;

24) 在“要导出的文件”页面中,单击“浏览”选择存储位置后,单击“下一步”按钮;

25) 在“正在完成证书导出向导”页面中,单击“完成”按钮;

26) 返回MMC管理控制台,右键单击“证书(本地计算机)”/“个人”,在弹出的快捷菜单中,选择“所有任务”/“导入”,如下图所示;

clip_p_w_picpath089

27) 在“欢迎使用证书导入向导”页面,单击“下一步”按钮;

28) 在“要导入的文件”页面,浏览选择之前导出的证书文件,单击“下一步”按钮;

29) 在“密码”页面中,输入刚才导出时设置的密码;

30) 在“证书存储”页面中,单击“下一步”按钮;

31) 在“正在完成证书导入向导”页面中,单击“完成”按钮;

32) 打开“TMG服务器管理控制台”,如下图所示单击“验证×××属性”;

clip_p_w_picpath091

33) 在“×××客户端属性”页面中,勾选“启用L2TP/IPSEC”然后,单击“确定”按钮;

clip_p_w_picpath093

34) 在返回的TMG控制台页面中,单击“应用”按钮,如下图所示;

clip_p_w_picpath095

10. 验证L2TP/IPSEC连接

1) 以本地管理员身份登录Home-PC-01客户端;

2) 打开IE浏览器,在地址栏中输入证书服务器地址https://bj-ca-01.T.CN/certsrv

3) 在下图所示页面中,单击“继续浏览此网站(不推荐)”;

clip_p_w_picpath097

4) 在弹出的登录提示框中,输入域帐号,如下图所示;

clip_p_w_picpath099

5) 在下图所示页面中,单击“下载一个CA证书,证书链或CRL”;

clip_p_w_picpath101

6) 在弹出的“Web访问确认”对话框中,单击“是”;

7) 在下图所示页面中,单击“下载CA证书链”;

clip_p_w_picpath103

8) 在弹出的另存为对话框中,单击“保存”按钮,将根证书进行下载保存;

clip_p_w_picpath105

9) 单击“开始”/“运行”,输入MMC,打开MMC控制台;

10) 在控制台窗口中,单击“文件”/“添加删除管理单元”;

clip_p_w_picpath106

11) 在“添加或删除管理单元”页面中,选择“证书”,单击“添加”按钮;

12) 在弹出的“证书管理”中,选择“我的用户帐户”,单击“完成”按钮;

13) 重复步骤9-10将“计算机帐户”一并添加至管理控制台中;

14) 右键单击“证书(本地计算机)”/“受信任的根证书颁发机构”/“证书”/“所有任务”/“导入”,如下图所示;

clip_p_w_picpath108

15) 根据提示将刚才下载保存的根证书导入;

16) 重新登录http://bj-ca-01.T.CN/certsrv

17) 在下图所示页面中,选择“申请证书”;

clip_p_w_picpath110

18) 在下图所示页面中,选择“高级证书申请”;

clip_p_w_picpath112

19) 在下图所示页面中,选择“创建并向此CA提交一个申请”;

clip_p_w_picpath114

20) 在弹出的“Web访问确认”对话框中,单击“是”;

21) 在下图所示的页面中,证书模板选择“用户”,勾选“标记密码为可导出”及“将证书保存在本地计算机存储中”,然后单击“提交”按钮;

clip_p_w_picpath116

22) 在下图所示警告页面中,单击“是”;

23) 在下图所示页面中,单击“安装此证书”;

clip_p_w_picpath118

24) 证书安装成功后,将看到下图所示界面;

clip_p_w_picpath120

25) 展开至“证书-当前用户”/“个人”/“证书”,如下图所示,右键单击证书,选择“导出”;

clip_p_w_picpath122

26) 在打开的“证书导出向导”页面,单击“下一步”按钮;

27) 在“导出私钥”页面中,勾选“是,导出私钥”,单击“下一步”按钮;

28) 在“导出文件格式”页面中,单击“下一步”按钮;

29) 在“密码”页面中,输入2次密码,单击“下一步”按钮;

30) 在“要导出的文件”页面中,单击“浏览”选择存储位置后,单击“下一步”按钮;

31) 在“正在完成证书导出向导”页面中,单击“完成”按钮;

32) 返回MMC管理控制台,右键单击“证书(本地计算机)”/“个人”,在弹出的快捷菜单中,选择“所有任务”/“导入”,如下图所示;

clip_p_w_picpath123

33) 在“欢迎使用证书导入向导”页面,单击“下一步”按钮;

34) 在“要导入的文件”页面,浏览选择之前导出的证书文件,单击“下一步”按钮;

35) 在“密码”页面中,输入刚才导出时设置的密码;

36) 在“证书存储”页面中,单击“下一步”按钮;

37) 在“正在完成证书导入向导”页面中,单击“完成”按钮;

38) 断开PPTP ×××连接;

39) 打开×××拨号连接窗口,如下图所示将连接方式修改为L2TP IPSEC ×××,然后单击“确定”按钮,返回×××拨号连接窗口,单击“连接”按钮;

clip_p_w_picpath125

40) 打开×××.T.CN连接属性,可以看到当前为L2TP IPSEC连接方式;

clip_p_w_picpath127

11. 启用基于共享密钥L2TP IPSCE ×××功能

1) 以管理身份登录BJ-×××-01;

2) 打开TMG 2012管理控制台窗口;

3) 在下图所示位置,单击“远程访问配置”;

clip_p_w_picpath129

4) 在打开的“远程访问策略(×××)属性”页面中,选择“身份验证”选项卡,然后进行如下图所示勾选“允许L2TP连接……”及输入共享密钥;

clip_p_w_picpath131

5) 在下图所示警告提示框中,单击“确定”按钮;

clip_p_w_picpath132

6) 返回ISA管理控制台后,单击“应用”按钮,如下图所示;

clip_p_w_picpath134

12. 验证共享密钥L2TP IPSEC ×××

1) 以本地管理员身份登录Home-PC-01客户端;

2) 打开×××拨号连接窗口,如下图所示将连接方式修改为L2TP IPSEC ×××,

单击高级设置,设置之前服务器端设置的密钥完成后单击2次确定按钮;

clip_p_w_picpath136

3) 返回×××拨号连接界面,单击“连接”按钮;

4) 打开×××.T.CN连接属性,可以看到当前为L2TP IPSEC连接方式;

clip_p_w_picpath138