TMG實現PPTP ×××---TMG 2010 ×××系列之一

    咱們都知道，Windows Server 2008的×××有三種類型：PPTP、L2TP/IPSec、SSTP。而對於SSTP ×××直接走443端口，增長了通用性。而對於ISA2004/2006均不能夠實現這種類型的×××，而最近微軟發佈的新產品TMG增長了對SSTP ×××的支持，今天咱們就來看一下，這三種類型的×××在TMG下的實現方式：

    對於本內容咱們分三次進行，先來看最簡單的PPTP ×××的實現解決方案。咱們的重點解決SSTP的×××，但在解決以前，咱們可能要進行一系列的測試工做，避免不了使用PPTP或L2TP/IPSec，全部乾脆一併在這裏一一道來，成爲一個×××解決系列。

 

前言：

    對於×××的工做過程，不外乎兩個階段：身份驗證和受權，對於身份驗證說白了其實就是對用戶進行合法性驗證，便是否是對應數據庫裏的用戶，而且密碼驗證也經過。受權，即該用戶必須有拔入權限。

 

實驗拓樸：

三臺機器，全部配置如上所示，初始環境已經搭建結束，如W08a是DC和DNS，CA並無安裝。W08c是TMG服務器，並已經安裝了TMG，遠程客戶端win7的TCP相關配置如上。接下來咱們來看PPTP ×××的實現過程：

 

1、在TMG服務器上完成PPTP的相關配置：

以下圖，打開開始菜單，運行TMG：

單擊「遠程訪問策略（×××）」，咱們看到有「×××客戶端和遠程站點」兩種類型的×××。在這裏咱們選擇「×××客戶端」，並單擊「定義地址分配」一項，爲未來拔上來的客戶端分配相應的地址池，以下圖所示：

注意：在這裏咱們分配地址池有兩種方式：靜態指定和DHCP，咱們選擇靜態，這裏的地址範圍必須不能是所使用的地址範圍，如內部是10.1.1.0/24，這裏必須是不一樣於上述子網的。

上圖肯定後，再次單擊以下的「配置×××客戶端訪問」，選擇相應的協議，咱們看到有三種類型的×××，在這裏咱們選擇PPTP。肯定。

回到頁面後，咱們 單擊「啓用×××客戶端訪問」。而後咱們單擊以下的「應用」，這項結束後， 若是是之前的2004或2006的標準版，咱們就能夠測試了，但對於TMG2010咱們還必須單擊「監視」項中的「配置」，查看服務器和配置存儲是否同步，這點和之前的企業版是相似的。以下幾圖，最終應用的成功。

 

2、配置遠程客戶端的PPTP ×××的拔號鏈接：

打開「網絡和共享中心」，以下圖，單擊「設置新的鏈接或網絡」，接下來一系列的過程如示：

如上圖，咱們輸入TMG的公網的IP地址，下圖咱們輸入的用戶名是哪裏的？注意在本實驗中，TMG服務器並無加入域，咱們也沒有搭建RADIUS服務器，故咱們用的用戶賬號即是TMG的本地用戶！！！

而後咱們來設置一下這個拔號鏈接的屬性，設置使用PPTP方式來鏈接：

注意：若是咱們不設置PPTP，默認使用「自動」也能夠進行鏈接，但速度會比較慢，由於要嘗試多種鏈接，故建議指定你的×××鏈接主要爲好。

以下圖，咱們來拔號試試，結果提示沒法拔入，分析緣由？

不能拔入的緣由很簡單，咱們並無開戶用戶的拔入的權限，故接下來，咱們完成第三步：

 

3、在TMG上開啓相應用戶的拔入權限：

運行lusrmgr.msc，打開「本地用戶和組」，並雙擊用戶夾中的adminisrator，設置「拔入」項--容許拔入。以下所示：

咱們回到遠程客戶端，再次重試鏈接，鏈接成功！並得到了相應的IP，但若是你嘗試聯繫內網並訪問內網共享資源，卻不能成功！？以下圖：

分析緣由：其實這也正是TMG跑×××和2008跑×××的最大的區別，2008跑×××只要你能拔號連入，意味着你也就能夠訪問內網資源了（NAP ×××除外），但TMG下的×××，即便你拔上來，默認仍是不能訪問資源的，你還必須在TMG做相應的「陣列訪問規則」。接下來，咱們來完成第四步：

 

4、在TMG上建立陣列訪問規則：

以下所示：在防火牆策略上新建一條「訪問規則」：以下一系列圖示。

如上圖，僅爲測試，故選擇全部出站通信，若在生產環境裏，根據狀況定義，此處略。

如上圖，單擊肯定後，稍等一會，由於要完成同步過程。再回來遠程客戶端測試以下：

 

小結：其實在TMG上跑×××，也是使用windows Server 2008上的「路由和遠程訪問」功能，若是你打開「路由和遠程訪問」控制檯，便會看到該組件的×××功能已經配置好了。但此時你最好不要再經過此控制檯配置×××。（咱們都知道2008的這個組件默認是不安裝的，看來咱們在安裝TMG時被自動安裝的）

 

預告：敬請關注 《TMG實現L2TP/IPSec ×××---TMG 2010 ×××系列之二》