用TMG搭建×××服務器(一)---PPTP ×××

×××的理論知識就不用多講了，本次教程一共五個章節，分別是

PPTP ×××

L2TP ×××

SSPT ×××

基於PPTP的站點到站點×××

基於L2TP的站點到站點×××

首先來作一下最簡單的PPTP×××，如圖環境中bjtmg爲TMG防火牆，未加入域；bjdc.zf.com是域控制器、CA服務器、RADIUS服務器；防火牆的外部是一臺Win7的客戶端

1.定義地址分配

在TMG控制檯左側點擊【遠程訪問策略(×××)】，選擇右側【定義地址分配】，來爲撥入的×××客戶端設置IP地址分配範圍

添加靜態地址池，設置一個IP地址範圍。

注意：此IP地址範圍不要同內網IP地址處在同一個網段

2.指定RADIUS服務器

因爲TMG服務器未加入到域中，客戶端在用域帳號進行撥入時只能經過域內的RADIUS服務器來作身份驗證，TMG將客戶端驗證請求提交給RADIUS服務器，RADIUS服務器驗證經過後受權客戶端撥入訪問

切換到 【RADIUS】選項卡，首先勾選【使用RADIUS進行身份驗證】和【使用RADIUS記帳】；而後打開【RADIUS服務器】進行設置

添加RADIUS服務器

指定RADIUS服務器的地址以即共享的機密

共享機密我設置的是1982，稍後在RADIUS服務器也要設置共享機密爲1982

打開TMG控制檯右側【配置×××客戶端訪問】

切換到【常規】選項卡，勾選【啓用×××客戶端訪問】

注意：【容許的最大×××客戶端數量】不要超過度配地址範圍中的數量

切換到【協議】選項卡，勾選【啓用PPTP】

肯定後別忘了應用配置使其生效

回到TMG控制檯單擊【監視】項中的【配置】，肯定服務器和配置存儲是否爲【已同步】

3.部署與配置RADUIS服務器

部署RADUIS服務器將部署在DC上，在bjdc上打開服務器管理器

添加角色

選擇【網絡策略和訪問服務】

選擇【網絡策略服務器】

點擊【安裝】後開始部署

部署完成後，要對RADIUS服務器進行設置

在【角色】中展開【網絡策略和訪問服務】-【NPS(本地)】-【RADIUS客戶端和服務器】；在【RADIUS】客戶端上右鍵選擇【新建】

來指定一個RADIUS客戶端

設置RADIUS客戶端IP地址，這裏就是bjtmg的IP地址192.168.3.254

共享機密和bjtmg上設置的同樣，爲1982

4.設置用戶撥入權限

在AD用戶和計算機中打開用戶屬性

切換到【撥入】選項卡，選擇【容許訪問】

5.客戶端設置

創建一個新的撥號鏈接

選擇【鏈接到工做區】

選擇【使用個人Internet鏈接(×××)】

指定×××服務器的IP地址和撥號鏈接的名稱

這裏地址要填bjtmg的外網IP地址222.16.2.2

指定有撥入權限的帳號和密碼

撥號鏈接建立完畢後，打開屬性，切換到【安全】選項卡，設置×××類型爲【PPTP】

肯定後客戶端就能夠撥入了

6.測試撥入

打開×××撥號鏈接，點擊【鏈接】後開始撥入

撥入後能夠用ipconfig命令查看，發現已經分配到×××地址，說明撥入成功

在bjtmg上的【路由和遠程訪問】中也能夠看到撥入成功，撥入的×××類型爲PPTP

回到客戶端上ping一下內部DC，發現ping不通，也沒法經過網絡訪問DC上的資源，這是由於TMG默認不容許×××客戶端與內部進行通信

要讓這兩個網絡實現通信就須要在TMG上建立一條訪問規則

在TMG控制檯上新建一條訪問規則，容許×××客戶端訪問內部網絡全部的資源

設置規則名稱

選擇【容許】

選擇【全部出站通信】

訪問源選擇【×××客戶端】

訪問目標選擇【內部】

選擇【全部用戶】

點擊【完成】訪問規則創建完畢

此時再次ping DC服務器已經能夠ping通了，也能夠訪問到DC上的共享資源