Win2008:遠程訪問SSL-VPN服務器攻略之三

　　六、在DC上配置撥入連接賬號。

　　七、在AD CA服務器上配置IIS，以使能通過HTTP連接至CRL目錄。

　　八、在SSTP VPN客戶端設置HOSTS文件。

　　九、在SSTP VPN客戶端使用PPTP協議連接SSTP VPN服務器。

　　十、在SSTP VPN客戶端從企業CA下載CA證書，并在客戶端機器上安裝。

　　十一、配置SSTP VPN客戶端使用SSTP技術連接SSTP VPN服務器。

　　在前面兩篇博文中，介紹了如何設置WINDOWS 2008作為VPN、NAT服務器角色，以及如何設置DC成為AD CA服務器。接下來，將重點放在SSTP VPN客戶端，通過配置來實現SSTP技術的應用。

　　同時，強烈建議對企業根CA不了解的朋友，在網絡上找相關資料加深了解。學會使用GOOGLE是一個不錯的建議。

　　六、在DC上配置撥入連接賬號

　　無論WINDOWS的任何版本，在使用VPN技術時，都應當在VPN服務器創建用戶賬戶，并充許其撥入的權限。

　　WINDOWS 2008有所不同的時，用戶賬號屬性中“撥入”的“網絡訪問權限”增加了一項“通過NPS網絡策略控制訪問”。這是一個不錯的主意：通過網絡策略來充許達到策略要求的撥入賬戶訪問或有限訪問特殊的網絡(如企業內部網絡)。安全性上有很大的提升，管理上也更加方便。但NPS不是這次實驗的主要目的，而且并沒有安裝此角色服務。

　　在此場景中，用戶賬號撥入的網絡權限仍與之前WINDOWS版本的做法相同：充許訪問。

　　1、在DC機器中，依次打開--開始—管理工具—Active Directory 用戶和計算機。

　　2、展開至“用戶”節點，在右側面板中選擇administrator,右鍵屬性，在撥入—網絡訪問權限---充許訪問前面打上對勾。

　　這里需要說明的是，由于是域環境，且SSTP VPN服務器是域成員服務器，所以只需在DC上充許一個賬戶具有撥入訪問權限便可。

　　七、在AD CA服務器上配置IIS，以使能通過HTTP連接至CRL目錄

　　基于一些原因，使用安裝向導安裝證書服務WEB站點時，會設置成需要SSL 連接至CRL目錄。從安全角度來說，看起來是一個好主意，但問題是連接至證書在線注冊申請站點的URL并不使用SSL。

　　由此，在進行接下來的操作之前，先要確認CRL目錄并不需要使用SSL 連接。

　　1、在DC機器中，依次打開--開始—管理工具-Internet信息服務(IIS)管理器

　　2、展開至“CertEnroll”節點，并選擇中間控制面板下方的“內容視圖”，這些就是CRL目錄的內容了。

　　3、在同一窗口中，選擇“功能視圖”，并找到“SSL 設置”項，雙擊后可以看到“需求SSL”前面的按鈕是灰色的。OK，這就說明不需要SSL連接。

　　八、在SSTP VPN客戶端設置HOSTS文件

　　在生產環境中，這一步是可以省略的，只需要在域名ISP那注冊相應域名便可以。但本場景為實驗環境，最大的區別就是在于沒有新建DNS來解析。

　　OK，在SSTP VPN客戶端，運行命令notepad c:\windows\system32\drivers\etc\hosts(注意，在保存之前應確保這個文件具有被修改的權限喲)，然后輸入：

　　166.111.8.2 sstp.contoso.com

　　166.111.8.2 win2k8dc.contoso.com(這個為域控的，可以省去)

　　九、在SSTP VPN客戶端使用PPTP協議連接SSTP VPN服務器

　　由于SSTP VPN客戶端不是域成員機器，故CA證書不會自動安裝在“受信受的根證書頒發機構”中。

　　那如何才能解決在客戶端上安裝CA證書的問題呢？呵呵，可以新建一個PPTP連接至SSTP VPN服務器，然后呢，通過WEB的方式來下載一個CA證書。

　　當然，也可以先下載后，直接傳到這臺機器上。

　　在這個場景中，是以先建立PPTP連接來實現的。

　　1、在SSTP VPN客戶端，打開“網絡和共享中心”，在右側的任務欄，選擇“設置連接或網絡”，在彈出的“選擇一個連接選項”界面中，選擇“連接到工作區”。并在接下來的“你想如何連接”中，選擇“使用我的INTERNET連接至VPN”，并下一步，(如果出現，現在設置INTERNET連接，選擇“稍后設置”，至于原因嘛，很明了喲，咱們現在不是實驗環境)在“鍵入要連接的INTERNET地址”，輸入圖中所示內容：sstp.contoso.com，至于目標名稱，隨意填寫。下一步：