首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

操作系统

Windows 9X | Linux&Uinx | Windows Server | 其它操作系统 | Vista | FreeBSD | Windows 7 |
首页 > 操作系统 > Windows Server > Win2008实战之SSTP VPN构建:客户端配置 > 正文

Win2008实战之SSTP VPN构建:客户端配置

出处:technet 作者:方建国 时间:2010-7-22 9:46:35
 在前面两篇文章中,介绍了如何设置WINDOWS 2008作为VPN、NAT服务器角色,以及如何设置DC成为AD CA服务器。接下来,将重点放在SSTP VPN客户端,通过配置来实现SSTP技术的应用。

  同时,我们强烈建议对企业根CA不了解的朋友,在网络上找相关资料加深了解。学会使用GOOGLE是一个不错的建议。

  六、在DC上配置拨入连接账号

  无论WINDOWS的任何版本,在使用VPN技术时,都应当在VPN服务器创建用户账户,并充许其拨入的权限。

  WINDOWS 2008有所不同的时,用户账号属性中"拨入"的"网络访问权限"增加了一项"通过NPS网络策略控制访问"。这是一个不错的主意:通过网络策略来充许达到策略要求的拨入账户访问或有限访问特殊的网络(如企业内部网络)。安全性上有很大的提升,管理上也更加方便。但NPS不是这次实验的主要目的,而且并没有安装此角色服务。

  在此场景中,用户账号拨入的网络权限仍与之前WINDOWS版本的做法相同:充许访问。

  1、在DC机器中,依次打开--开始-管理工具-Active Directory 用户和计算机。

  2、展开至"用户"节点,在右侧面板中选择administrator,右键属性,在拨入-网络访问权限---充许访问前面打上对勾。

  这里需要说明的是,由于是域环境,且SSTP VPN服务器是域成员服务器,所以只需在DC上充许一个账户具有拨入访问权限便可。(图1)

七、在AD CA服务器上配置IIS,以使能通过HTTP连接至CRL目录

  基于一些原因,使用安装向导安装证书服务WEB站点时,会设置成需要SSL 连接至CRL目录。从安全角度来说,看起来是一个好主意,但问题是连接至证书在线注册申请站点的URL并不使用SSL。

  由此,在进行接下来的操作之前,先要确认CRL目录并不需要使用SSL 连接。

  1、在DC机器中,依次打开--开始-管理工具-Internet信息服务(IIS)管理器

  2、展开至"CertEnroll"节点,并选择中间控制面板下方的"内容视图",这些就是CRL目录的内容了。(图2)
 

  3、在同一窗口中,选择"功能视图",并找到"SSL 设置"项,双击后可以看到"需求SSL"前面的按钮是灰色的。OK,这就说明不需要SSL连接。(图3)

八、在SSTP VPN客户端设置HOSTS文件

  在生产环境中,这一步是可以省略的,只需要在域名ISP那注册相应域名便可以。但本场景为实验环境,最大的区别就是在于没有新建DNS来解析。

  OK,在SSTP VPN客户端,运行命令notepad c:\windows\system32\drivers\etc\hosts(注意,在保存之前应确保这个文件具有被修改的权限哟),然后输入:

  166.111.8.2  sstp.contoso.com

  166.111.8.2 win2k8dc.contoso.com(这个为域控的,可以省去)(图4)

九、在SSTP VPN客户端使用PPTP协议连接SSTP VPN服务器

  由于SSTP VPN客户端不是域成员机器,故CA证书不会自动安装在"受信受的根证书颁发机构"中。

  那如何才能解决在客户端上安装CA证书的问题呢?呵呵,可以新建一个PPTP连接至SSTP VPN服务器,然后呢,通过WEB的方式来下载一个CA证书。

  当然,也可以先下载后,直接传到这台机器上。

  在这个场景中,是以先建立PPTP连接来实现的。

  1、在SSTP VPN客户端,打开"网络和共享中心",在右侧的任务栏,选择"设置连接或网络",在弹出的"选择一个连接选项"界面中,选择"连接到工作区"。并在接下来的"你想如何连接"中,选择"使用我的INTERNET连接至VPN",并下一步,(如果出现,现在设置INTERNET连接,选择"稍后设置",至于原因嘛,很明了哟,咱们现在不是实验环境)在"键入要连接的INTERNET地址",输入图中所示内容:sstp.contoso.com,至于目标名称,随意填写。下一步:(图5)
 

  2、在"键入您的用户名和密码"窗口,输入用户名:administrator及密码。(此时的用户名就是前面章节域管理员的名字,实际生产环境中请尽量不要用)(图6)
 

  3、OK,进行到这一步,就可以进行拨号连接了,一切顺利。下图就是连接后的截图,请注意图中的标为绿色的部分:PPTP。(图7)
 

  4、命令行下也可以看到分配的IP地址,以及可以和内部网络的DC通讯了。(图8)

  5、打开IE浏览器,输入AD CA服务器的WEB注册网址:http://10.0.0.2/certsrv,并在弹出的用户认证界面输入用户名和密码。在出现的"欢迎使用"页,点"下载CA证书、证书链或CRL"。(图9)
 

  6、此步,会出现图中所示的现象,当然是充许并运行了,不然,就没戏了。嘿嘿。(图10、11)
 


 

  7、运行了"证书注册控制"后,就可以从"下载CA证书、证书链或CRL"页面,点"下载CA证书"了,保存CA证书至桌面上。并关掉IE浏览器。(图12)
 

  8、证书下载后,接下来的工作是相当重要的,就是把下载的证书安装在"受信任的证书颁发机构"的证书存储中。

  9、在SSTP VPN客户端机器上,运行"MMC",并在UAC对话框,点"继续"按钮。

  10、在控制台界面,打开"文件"下接栏中的"添加或删除管理单元"。

  11、在"添加或删除管理单元"对话框中,下拉按钮至中间,找到"证书",点右侧中间的"添加"。在弹出的对话框中,选择"计算机账号"。下一步:(图13)
 

  12、在"选择计算机"对话框中,选择"本地计算机",并点完成。(图14)
 

  13、在"证书"控制台窗口中,移动鼠标至证书(本地计算机)--受信任的根证书颁发机构-证书-右健所有任务-导入。(图15)
 

  14、在"要导入的文件"界面中,浏览至桌面之前保存的证书文件。下一步:(图16)

  15、在"证书存储"中,选择"将所有的证书放入下列存储",并确保证书存储下面的对话框为"受信任的根证书颁发机构",下一步并完成操作:(图17)
 

  16、完成以前操作后,可以在右侧看到相关详细信息。(图18)
 

  17、接下来,就要进行VPN拨号连接设置了。断开之前的PPTP VPN连接,并右键至属性,在弹出的"SSTP VPN"属性对话框中,选定"网络"。并在"VPN类型"下拉框中选定"安全套接字隧道协议(SSTP)"。并确定。(图19)
 

  18、再次进行拨号连接,OK,下图展示的就是连接后的状态,看到了吧,SSTP已经被使用。(图20)
 

  19、OK,基本上完成所有操作了,为了更进一步说明使用的是SSTP技术来进行的VPN连接,可以在SSTP VPN服务器看到如下图示。足以说明啦。(图21)

相关文章 热门文章
  • in2008实战之SSTP VPN构建:服务器配置
  • Win2008实战之SSTP VPN构建攻略:准备篇
  • “http 500内部服务器错误”的解决方法
  • 利用Windows 2000 Server的RRAS实现VPN服务器
  • 用凤凰万能启动盘解决本地/域管理员密码丢失
  • Win2003 Server企业版安装配置
  • Active directory 灾难恢复
  • Windows 2000/03域和活动目录
  • 如何在vmware4上创建windows 2003群集
  • MSI文件制作全过程
  • Win2000命令全集(一)
  • Windows 2000/AD技巧
  • 此系统的本地策略不允许您采用交互式登录解决方法
  • Win2000路由的安装与设置实现不同网段互通
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号