TMG實現L2TP/IPSec ×××---TMG 2010 ×××系列之二

時間  2020-01-09
標籤 tmg 實現 l2tp ipsec 系列 之二 欄目 VPS 简体版
原文   原文鏈接
    咱們都知道,Windows Server 2008的×××有三種類型:PPTP、L2TP/IPSec、SSTP。而對於SSTP ×××直接走443端口,增長了通用性。而對於ISA2004/2006均不能夠實現這種類型的×××,而最近微軟發佈的新產品TMG增長了對SSTP ×××的支持,今天咱們就來看一下,這三種類型的×××在TMG下的實現方式:
    對於本內容咱們分三次進行,這是咱們的第二次課,L2TP/IPSec ×××的實現過程:
    咱們的重點解決SSTP的×××,但在解決以前,咱們可能要進行一系列的測試工做,避免不了使用PPTP或L2TP/IPSec,全部乾脆一併在這裏一一道來,成爲一個×××解決系列。
前言:
對於×××的工做過程,不外乎兩個階段:身份驗證和受權,對於身份驗證說白了其實就是對用戶進行合法性驗證,便是否是對應數據庫裏的用戶,而且密碼驗證也經過。受權,即該用戶必須有拔入權限。
實驗拓樸:
clip_p_w_picpath001
三臺機器,全部配置如上所示,初始環境已經搭建結束,如W08a是DC和DNS,CA並無安裝。W08c是TMG服務器,並已經安裝了TMG,遠程客戶端win7的TCP相關配置如上。接下來咱們來看L2TP/IPSec ×××的實現過程:
分析: 對於L2TP/IPSec ×××咱們有兩種方式進行計算機的身份驗證和加密,一種是使用預共享密鑰,一種是使用證書。在這裏咱們採用證書完成×××的操做。因此咱們必須爲TMG服務器和遠程客戶端分別申請計算機證書,並下載CA的根證書(安裝到計算機存儲中)。
步驟:
1、在企業內部的W08a上搭建獨立根CA
2、在TMG上申請計算機證書並下載CA的根證書
3、在Win7上申請計算機證書並下載CA的根證書
4、在TMG上完成L2TP/IPSec ×××的配置並建立相應的訪問規則及用戶拔入權限。
5、在Win7上建立×××拔號鏈接,並測試。
6、總結
實現過程:
1、在企業內部的W08a上搭建獨立根CA
在W08a上運行「服務器管理器」,在控制檯的「角色」上右擊--「添加角色」,以下所示:選擇" AD CS "單擊「下一步」:
clip_p_w_picpath002
下圖,選擇「證書頒發機構Web註冊」,會彈出關聯組件並選擇安裝,單擊下一步:
clip_p_w_picpath003
下圖,咱們選擇"獨立CA」,單擊下一步:
clip_p_w_picpath004
下圖,選擇根CA,繼續:
clip_p_w_picpath005
接下來,基本能夠採用默認的設置,一路單擊便可:
clip_p_w_picpath006
clip_p_w_picpath007
clip_p_w_picpath008
clip_p_w_picpath009
clip_p_w_picpath010
clip_p_w_picpath011
clip_p_w_picpath012
clip_p_w_picpath013
安裝結束後以下圖:
clip_p_w_picpath014
開始---搜索,輸入certsrv.msc,右擊Root CA選--屬性,設置CA自動頒發證書。(PS:固然這裏是爲了圖簡單,在生產環境裏固然必需要手動頒發嘍~~),改後,注意要重啓證書服務,此處略~~
clip_p_w_picpath015
2、在TMG上申請計算機證書並下載CA的根證書
1.打開IE,工具---Internet選項, 配置「安全級別」,並把CA站點添加到信任區域。
clip_p_w_picpath016
clip_p_w_picpath017
2.在TMG上 建立一條「陣列訪問規則」,容許TMG服務器能夠訪問CA服務器的HTTP協議。在這裏爲了簡單咱們建立一條從本地主機(即TMG)到內部的一條能夠訪問所有協議的規則。大體操做以下:
在防火牆策略上新建一條「訪問規則」:以下一系列圖示。
clip_p_w_picpath018
clip_p_w_picpath019
clip_p_w_picpath020
clip_p_w_picpath021
如上圖,僅爲測試,故選擇全部出站通信,若在生產環境裏,根據狀況定義,此處略。
clip_p_w_picpath022
clip_p_w_picpath023
clip_p_w_picpath024
clip_p_w_picpath025
clip_p_w_picpath026
建立結束後,單擊「應用」保存配置,稍等片刻。咱們進行下面的操做。
3.爲TMG服務器 下載CA的根證書,並安裝到計算機存儲中
打開IE,在地址欄裏輸入http://10.1.1.5/certsrv,單擊"下載CA證書、證書鏈或CRL"
clip_p_w_picpath027
clip_p_w_picpath028
clip_p_w_picpath029
注意「保存」到本地計算機,如桌面上。
接下來,單擊「開始---搜索」,輸入mmc,以下所示:
clip_p_w_picpath030
clip_p_w_picpath031
如上圖,添加「用戶和計算機」的證書控制檯,而後在下圖所示中,展開「證書(本地計算機)」,導入剛纔下載並保存的CA的根證書,導入後,以下下圖所示。
clip_p_w_picpath032
clip_p_w_picpath033
4. 在TMG上 申請計算機證書,並安裝「證書(本地計算機)」的我的存儲中。
如上同樣,打開IE,輸入http://10.1.1.5/certsrv,以下:
clip_p_w_picpath034
clip_p_w_picpath035
clip_p_w_picpath036
clip_p_w_picpath037
如上圖,必定要注意這三項,而後單擊「提交」,以下圖:
clip_p_w_picpath038
單擊「安裝此證書」,注意此時該證書被安裝到了用戶我的存儲中,咱們必須再次打剛纔的MMC,把用戶裏的這個證書,帶私鑰導出,而後再導入計算機我的存儲中。
以下所示:(步驟太多,截了幾副,其它未貼出採用默認配置自行處理)
clip_p_w_picpath039
clip_p_w_picpath040
clip_p_w_picpath041
clip_p_w_picpath042
導出證書後,咱們還須要以下操做,把該證書導入到計算機我的存儲中,以下:
clip_p_w_picpath043
導完後,以下圖所示:
clip_p_w_picpath044
3、在Win7上申請計算機證書並下載CA的根證書
有關遠程客戶端證書的申請過程和TMG通常無二,但咱們要考慮的就是如何實現和CA的鏈接問題:
兩種方式:
a.若是是單位的筆記本電腦,能夠事先申請並安裝,再出差。
b.若是在分支機構的電腦等,咱們也能夠事先用PPTP的方式鏈接,而後再申請。
因爲步驟同樣,在此不在贅述。
4、在TMG上完成L2TP/IPSec ×××的配置並建立相應的訪問規則及用戶拔入權限。
此處的操做和配置,與上篇的操做和配置基本相同,惟一的區別,以下圖處,咱們要選擇×××協議爲L2TP/IPSec:
clip_p_w_picpath045
5、在Win7上建立×××拔號鏈接,並測試。
此處的配置基本上和上篇配置相似,惟一的區別,須要更改×××的鏈接選擇L2TP/IPSec,並選擇使用證書,以下圖所示:
clip_p_w_picpath046
鏈接上來後,以下所示:
clip_p_w_picpath047
6、總結
其實實現L2TP/IPSec ×××關鍵仍是證書方面,你必須在TMG和遠程客戶端都要下載CA的根證書,而且必定要安裝到計算機存儲列表中,此外兩個計算機證書,名字必須是對應計算機的名字,而且申請時選擇「導出私鑰」,而後利用MMC控制導出並導入計算機存儲中。這是這個實驗成功的關鍵點!在整個實驗過程當中,對於TMG還有配置相應的訪問規則。理好思路並不難,就是步驟多了些。
 
 
預告:敬請關注 《TMG實現SSTP ×××---TMG 2010 ×××系列之三》
相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程