上一篇
下一篇
配置windows 2008 作为远程访问SSL-VPN服务器系列之三
作者:admin 日期:2008-08-06
如需转载,请经我充许后方可。By RickyFang/下里巴人
你也许需要看看:
配置windows 2008 作为远程访问SSL-VPN服务器系列之一
配置windows 2008 作为远程访问SSL-VPN服务器系列之二
在这部分中,将进行如下操作:
六、在DC上配置拨入连接账号。
七、在AD CA服务器上配置IIS,以使能通过HTTP连接至CRL目录。
八、在SSTP VPN客户端设置HOSTS文件。
九、在SSTP VPN客户端使用PPTP协议连接SSTP VPN服务器。
十、在SSTP VPN客户端从企业CA下载CA证书,并在客户端机器上安装。
十一、配置SSTP VPN客户端使用SSTP技术连接SSTP VPN服务器。
在前面两篇博文中,介绍了如何设置WINDOWS 2008作为VPN、NAT服务器角色,以及如何设置DC成为AD CA服务器。接下来,将重点放在SSTP VPN客户端,通过配置来实现SSTP技术的应用。
同时,强烈建议对企业根CA不了解的朋友,在网络上找相关资料加深了解。学会使用GOOGLE是一个不错的建议。
六、在DC上配置拨入连接账号
无论WINDOWS的任何版本,在使用VPN技术时,都应当在VPN服务器创建用户账户,并充许其拨入的权限。
WINDOWS 2008有所不同的时,用户账号属性中“拨入”的“网络访问权限”增加了一项“通过NPS网络策略控制访问”。这是一个不错的主意:通过网络策略来充许达到策略要求的拨入账户访问或有限访问特殊的网络(如企业内部网络)。安全性上有很大的提升,管理上也更加方便。但NPS不是这次实验的主要目的,而且并没有安装此角色服务。
在此场景中,用户账号拨入的网络权限仍与之前WINDOWS版本的做法相同:充许访问。
1、在DC机器中,依次打开--开始—管理工具—Active Directory 用户和计算机。
2、展开至“用户”节点,在右侧面板中选择administrator,右键属性,在拨入—网络访问权限---充许访问前面打上对勾。
这里需要说明的是,由于是域环境,且SSTP VPN服务器是域成员服务器,所以只需在DC上充许一个账户具有拨入访问权限便可。
七、在AD CA服务器上配置IIS,以使能通过HTTP连接至CRL目录
基于一些原因,使用安装向导安装证书服务WEB站点时,会设置成需要SSL 连接至CRL目录。从安全角度来说,看起来是一个好主意,但问题是连接至证书在线注册申请站点的URL并不使用SSL。
由此,在进行接下来的操作之前,先要确认CRL目录并不需要使用SSL 连接。
1、在DC机器中,依次打开--开始—管理工具-Internet信息服务(IIS)管理器
2、展开至“CertEnroll”节点,并选择中间控制面板下方的“内容视图”,这些就是CRL目录的内容了。
3、在同一窗口中,选择“功能视图”,并找到“SSL 设置”项,双击后可以看到“需求SSL”前面的按钮是灰色的。OK,这就说明不需要SSL连接。
八、在SSTP VPN客户端设置HOSTS文件
在生产环境中,这一步是可以省略的,只需要在域名ISP那注册相应域名便可以。但本场景为实验环境,最大的区别就是在于没有新建DNS来解析。
OK,在SSTP VPN客户端,运行命令notepad c:\windows\system32\drivers\etc\hosts(注意,在保存之前应确保这个文件具有被修改的权限哟),然后输入:
166.111.8.2 sstp.contoso.com
166.111.8.2 win2k8dc.contoso.com(这个为域控的,可以省去)
九、在SSTP VPN客户端使用PPTP协议连接SSTP VPN服务器
由于SSTP VPN客户端不是域成员机器,故CA证书不会自动安装在“受信受的根证书颁发机构”中。
那如何才能解决在客户端上安装CA证书的问题呢?呵呵,可以新建一个PPTP连接至SSTP VPN服务器,然后呢,通过WEB的方式来下载一个CA证书。
当然,也可以先下载后,直接传到这台机器上。
在这个场景中,是以先建立PPTP连接来实现的。
1、在SSTP VPN客户端,打开“网络和共享中心”,在右侧的任务栏,选择“设置连接或网络”,在弹出的“选择一个连接选项”界面中,选择“连接到工作区”。并在接下来的“你想如何连接”中,选择“使用我的INTERNET连接至VPN”,并下一步,(如果出现,现在设置INTERNET连接,选择“稍后设置”,至于原因嘛,很明了哟,咱们现在不是实验环境)在“键入要连接的INTERNET地址”,输入图中所示内容:sstp.contoso.com,至于目标名称,随意填写。下一步:
2、在“键入您的用户名和密码”窗口,输入用户名:administrator及密码。(此时的用户名就是前面章节域管理员的名字,实际生产环境中请尽量不要用)
3、OK,进行到这一步,就可以进行拨号连接了,一切顺利。下图就是连接后的截图,请注意图中的标为绿色的部分:PPTP。
4、命令行下也可以看到分配的IP地址,以及可以和内部网络的DC通讯了。
5、打开IE浏览器,输入AD CA服务器的WEB注册网址:http://10.0.0.2/certsrv,并在弹出的用户认证界面输入用户名和密码。在出现的“欢迎使用”页,点“下载CA证书、证书链或CRL”。
6、此步,会出现图中所示的现象,当然是充许并运行了,不然,就没戏了。嘿嘿。
7、运行了“证书注册控制”后,就可以从“下载CA证书、证书链或CRL”页面,点“下载CA证书”了,保存CA证书至桌面上。并关掉IE浏览器。
8、证书下载后,接下来的工作是相当重要的,就是把下载的证书安装在“受信任的证书颁发机构”的证书存储中。
9、在SSTP VPN客户端机器上,运行“MMC”,并在UAC对话框,点“继续”按钮。
10、在控制台界面,打开“文件”下接栏中的“添加或删除管理单元”。
11、在“添加或删除管理单元”对话框中,下拉按钮至中间,找到“证书”,点右侧中间的“添加”。在弹出的对话框中,选择“计算机账号”。下一步:
12、在“选择计算机”对话框中,选择“本地计算机”,并点完成。
13、在“证书”控制台窗口中,移动鼠标至证书(本地计算机)--受信任的根证书颁发机构—证书—右健所有任务—导入。
14、在“要导入的文件”界面中,浏览至桌面之前保存的证书文件。下一步:
15、在“证书存储”中,选择“将所有的证书放入下列存储”,并确保证书存储下面的对话框为“受信任的根证书颁发机构”,下一步并完成操作:
16、完成以前操作后,可以在右侧看到相关详细信息。
17、接下来,就要进行VPN拨号连接设置了。断开之前的PPTP VPN连接,并右键至属性,在弹出的“SSTP VPN”属性对话框中,选定“网络”。并在“VPN类型”下拉框中选定“安全套接字隧道协议(SSTP)”。并确定。
18、再次进行拨号连接,OK,下图展示的就是连接后的状态,看到了吧,SSTP已经被使用。
19、OK,基本上完成所有操作了,为了更进一步说明使用的是SSTP技术来进行的VPN连接,可以在SSTP VPN服务器看到如下图示。足以说明啦。
花了四天的时间,陆续完成了整部文章的写作,这个过程中,不仅仅是“写”的过程,更是学习的过程,了解WINDOWS 2008的过程。所谓“痛苦、兴奋并快乐着”吧,不过如此。
你也许需要看看:
配置windows 2008 作为远程访问SSL-VPN服务器系列之一
配置windows 2008 作为远程访问SSL-VPN服务器系列之二
在这部分中,将进行如下操作:
六、在DC上配置拨入连接账号。
七、在AD CA服务器上配置IIS,以使能通过HTTP连接至CRL目录。
八、在SSTP VPN客户端设置HOSTS文件。
九、在SSTP VPN客户端使用PPTP协议连接SSTP VPN服务器。
十、在SSTP VPN客户端从企业CA下载CA证书,并在客户端机器上安装。
十一、配置SSTP VPN客户端使用SSTP技术连接SSTP VPN服务器。
在前面两篇博文中,介绍了如何设置WINDOWS 2008作为VPN、NAT服务器角色,以及如何设置DC成为AD CA服务器。接下来,将重点放在SSTP VPN客户端,通过配置来实现SSTP技术的应用。
同时,强烈建议对企业根CA不了解的朋友,在网络上找相关资料加深了解。学会使用GOOGLE是一个不错的建议。
六、在DC上配置拨入连接账号
无论WINDOWS的任何版本,在使用VPN技术时,都应当在VPN服务器创建用户账户,并充许其拨入的权限。
WINDOWS 2008有所不同的时,用户账号属性中“拨入”的“网络访问权限”增加了一项“通过NPS网络策略控制访问”。这是一个不错的主意:通过网络策略来充许达到策略要求的拨入账户访问或有限访问特殊的网络(如企业内部网络)。安全性上有很大的提升,管理上也更加方便。但NPS不是这次实验的主要目的,而且并没有安装此角色服务。
在此场景中,用户账号拨入的网络权限仍与之前WINDOWS版本的做法相同:充许访问。
1、在DC机器中,依次打开--开始—管理工具—Active Directory 用户和计算机。
2、展开至“用户”节点,在右侧面板中选择administrator,右键属性,在拨入—网络访问权限---充许访问前面打上对勾。
这里需要说明的是,由于是域环境,且SSTP VPN服务器是域成员服务器,所以只需在DC上充许一个账户具有拨入访问权限便可。
七、在AD CA服务器上配置IIS,以使能通过HTTP连接至CRL目录
基于一些原因,使用安装向导安装证书服务WEB站点时,会设置成需要SSL 连接至CRL目录。从安全角度来说,看起来是一个好主意,但问题是连接至证书在线注册申请站点的URL并不使用SSL。
由此,在进行接下来的操作之前,先要确认CRL目录并不需要使用SSL 连接。
1、在DC机器中,依次打开--开始—管理工具-Internet信息服务(IIS)管理器
2、展开至“CertEnroll”节点,并选择中间控制面板下方的“内容视图”,这些就是CRL目录的内容了。
3、在同一窗口中,选择“功能视图”,并找到“SSL 设置”项,双击后可以看到“需求SSL”前面的按钮是灰色的。OK,这就说明不需要SSL连接。
八、在SSTP VPN客户端设置HOSTS文件
在生产环境中,这一步是可以省略的,只需要在域名ISP那注册相应域名便可以。但本场景为实验环境,最大的区别就是在于没有新建DNS来解析。
OK,在SSTP VPN客户端,运行命令notepad c:\windows\system32\drivers\etc\hosts(注意,在保存之前应确保这个文件具有被修改的权限哟),然后输入:
166.111.8.2 sstp.contoso.com
166.111.8.2 win2k8dc.contoso.com(这个为域控的,可以省去)
九、在SSTP VPN客户端使用PPTP协议连接SSTP VPN服务器
由于SSTP VPN客户端不是域成员机器,故CA证书不会自动安装在“受信受的根证书颁发机构”中。
那如何才能解决在客户端上安装CA证书的问题呢?呵呵,可以新建一个PPTP连接至SSTP VPN服务器,然后呢,通过WEB的方式来下载一个CA证书。
当然,也可以先下载后,直接传到这台机器上。
在这个场景中,是以先建立PPTP连接来实现的。
1、在SSTP VPN客户端,打开“网络和共享中心”,在右侧的任务栏,选择“设置连接或网络”,在弹出的“选择一个连接选项”界面中,选择“连接到工作区”。并在接下来的“你想如何连接”中,选择“使用我的INTERNET连接至VPN”,并下一步,(如果出现,现在设置INTERNET连接,选择“稍后设置”,至于原因嘛,很明了哟,咱们现在不是实验环境)在“键入要连接的INTERNET地址”,输入图中所示内容:sstp.contoso.com,至于目标名称,随意填写。下一步:
2、在“键入您的用户名和密码”窗口,输入用户名:administrator及密码。(此时的用户名就是前面章节域管理员的名字,实际生产环境中请尽量不要用)
3、OK,进行到这一步,就可以进行拨号连接了,一切顺利。下图就是连接后的截图,请注意图中的标为绿色的部分:PPTP。
4、命令行下也可以看到分配的IP地址,以及可以和内部网络的DC通讯了。
5、打开IE浏览器,输入AD CA服务器的WEB注册网址:http://10.0.0.2/certsrv,并在弹出的用户认证界面输入用户名和密码。在出现的“欢迎使用”页,点“下载CA证书、证书链或CRL”。
6、此步,会出现图中所示的现象,当然是充许并运行了,不然,就没戏了。嘿嘿。
7、运行了“证书注册控制”后,就可以从“下载CA证书、证书链或CRL”页面,点“下载CA证书”了,保存CA证书至桌面上。并关掉IE浏览器。
8、证书下载后,接下来的工作是相当重要的,就是把下载的证书安装在“受信任的证书颁发机构”的证书存储中。
9、在SSTP VPN客户端机器上,运行“MMC”,并在UAC对话框,点“继续”按钮。
10、在控制台界面,打开“文件”下接栏中的“添加或删除管理单元”。
11、在“添加或删除管理单元”对话框中,下拉按钮至中间,找到“证书”,点右侧中间的“添加”。在弹出的对话框中,选择“计算机账号”。下一步:
12、在“选择计算机”对话框中,选择“本地计算机”,并点完成。
13、在“证书”控制台窗口中,移动鼠标至证书(本地计算机)--受信任的根证书颁发机构—证书—右健所有任务—导入。
14、在“要导入的文件”界面中,浏览至桌面之前保存的证书文件。下一步:
15、在“证书存储”中,选择“将所有的证书放入下列存储”,并确保证书存储下面的对话框为“受信任的根证书颁发机构”,下一步并完成操作:
16、完成以前操作后,可以在右侧看到相关详细信息。
17、接下来,就要进行VPN拨号连接设置了。断开之前的PPTP VPN连接,并右键至属性,在弹出的“SSTP VPN”属性对话框中,选定“网络”。并在“VPN类型”下拉框中选定“安全套接字隧道协议(SSTP)”。并确定。
18、再次进行拨号连接,OK,下图展示的就是连接后的状态,看到了吧,SSTP已经被使用。
19、OK,基本上完成所有操作了,为了更进一步说明使用的是SSTP技术来进行的VPN连接,可以在SSTP VPN服务器看到如下图示。足以说明啦。
花了四天的时间,陆续完成了整部文章的写作,这个过程中,不仅仅是“写”的过程,更是学习的过程,了解WINDOWS 2008的过程。所谓“痛苦、兴奋并快乐着”吧,不过如此。
文章来自: 
引用通告: 
Tags: 
相关日志:
评论: 12 | 引用: 0 | 查看次数: -
回复
按你的步聚做,可是最后一步,把PPTP 改成 SSL 连接时出现以下这种错误
错误代码 0x80092013 当您试图连接到基于 SSTP 的 VPN 服务器
((如果从 VPN 服务器的客户端计算机发生故障的证书吊销检查的 SSL 证书的客户端计算机获得,则可能会发生此问题。
若要到此问题的疑难解答验证承载证书吊销列表 (CRL) 的服务器到客户端可用。这可能意味着 CRL 服务器在 Internet 上是可供客户端使用。客户端计算机运行的 SSL 连接建立过程中的 CRL 检查。但是,通过 VPN 连接是不能执行此验证操作。这是因为直到 CRL 检查已成功完成,不建立 VPN 连接。而是 CRL 检查查询是直接发送到 CRL 服务器。)) 网上的说了,跟没说一样,听不懂也不会解决。。。胸闷望指点 本人QQ 150576077
错误代码 0x80092013 当您试图连接到基于 SSTP 的 VPN 服务器
((如果从 VPN 服务器的客户端计算机发生故障的证书吊销检查的 SSL 证书的客户端计算机获得,则可能会发生此问题。
若要到此问题的疑难解答验证承载证书吊销列表 (CRL) 的服务器到客户端可用。这可能意味着 CRL 服务器在 Internet 上是可供客户端使用。客户端计算机运行的 SSL 连接建立过程中的 CRL 检查。但是,通过 VPN 连接是不能执行此验证操作。这是因为直到 CRL 检查已成功完成,不建立 VPN 连接。而是 CRL 检查查询是直接发送到 CRL 服务器。)) 网上的说了,跟没说一样,听不懂也不会解决。。。胸闷望指点 本人QQ 150576077
错误 0x80070040: 指定的网络名不再可用
我也遇到了这个问题,我完全是按照上面的步骤做的,请问一下怎么解决,我已经加了您的qq了,谢谢!
rickyfang 于 回复
我也遇到了这个问题,我完全是按照上面的步骤做的,请问一下怎么解决,我已经加了您的qq了,谢谢!
rickyfang 于 回复晚上回家后,才能上QQ.
我是按照您的步骤一步一步操作的,1>在域服务器上创建CA 根证书。2>在SSTP VPN 服务器上安装IIS并且申请域证书,通用名称为sstp.contoso.com,并安装配置VPN&NAT 服务器。3>使用以赋予的VPN拨入权限域帐户使用PPTP协议登陆VPN 服务器,服务器地址输入sstp.contoso.com(在客户端hosts文件里配置对应记录)。拨入后,访问域服务器 并且下载CA证书。保存本地并且导入证书(计算机帐户)里受信任的根证书颁发机构。退出PPTP连接,改用SSTP 协议连接,就出现:错误 0x80070040: 指定的网络名不再可用。
不知是哪里配置错误,还望您指点!
admin 于 回复
不知是哪里配置错误,还望您指点!
admin 于 回复客户端证书什么都已经下载好了,并且导入本地,可就是换成SSTP 协议重拨VPN 时,却报错误
错误 0x80070040: 指定的网络名不再可用,不知是哪里配置错误,还望您指点!
admin 于 回复
错误 0x80070040: 指定的网络名不再可用,不知是哪里配置错误,还望您指点!
admin 于 回复好啊。
不知道是不是按照我写的文章的步骤做的?
但最容易出现问题的地方还是信任证书颁发机构这一块。
不知道是不是按照我写的文章的步骤做的?
但最容易出现问题的地方还是信任证书颁发机构这一块。
感谢下里巴人的精彩作业。windows server 2008中文网bbs.2008.net转载了你的文章。ws2008.net/Info.aspx?ModelId=1&Id=71
如果不方便被转载请请联系ws2008@ws2008.net QQ:495971851处理。
如果不方便被转载请请联系ws2008@ws2008.net QQ:495971851处理。
就是我用WEB申请好证书。
安装好了后,进入网站后,这个地址栏证书提醒是红色的消息:不匹配的地址
难道一定要装域企业证书吗?
老师您的QQ多少! 或者加我QQ我截图
admin 于 回复
安装好了后,进入网站后,这个地址栏证书提醒是红色的消息:不匹配的地址
难道一定要装域企业证书吗?
老师您的QQ多少! 或者加我QQ我截图
admin 于 回复我建议你先了解下SSL和证书的关系以及证书的作用和建立。
一定要建立证书,否则域验证就通不过,信任不能建立,就无法实现SSL。
我的QQ:45723305.
你最好按照我的写的一步一步的去做。
一定要建立证书,否则域验证就通不过,信任不能建立,就无法实现SSL。
我的QQ:45723305.
你最好按照我的写的一步一步的去做。
老师
问下!不用域证书,直接做SSL 怎么做! 客户端申请的证书还是浏览不来?
这几天关注你的回答 ,谢谢!可以的话加我Q 315953039
admin 于 回复
问下!不用域证书,直接做SSL 怎么做! 客户端申请的证书还是浏览不来?
这几天关注你的回答 ,谢谢!可以的话加我Q 315953039
admin 于 回复但必需有证书的。(如果在公网上,就用第三方的证书,如果在测试环境中,就用域企业证书)
不过,我还是不太理解你问的意思哟。
不过,我还是不太理解你问的意思哟。
多谢,以后多交流这方面的技术哟。
比英文版的sstp deploy guide要详细,不错
我从去年底就开始按照微软提供的guide配置SSTP,中间也经历不少痛苦啊
不过后悔的是,当初没有把配置过程都写成文章
我从去年底就开始按照微软提供的guide配置SSTP,中间也经历不少痛苦啊
不过后悔的是,当初没有把配置过程都写成文章
发表评论
((3、在同一窗口中,选择“功能视图”,并找到“SSL 设置”项,双击后可以看到“需求SSL”前面的按钮是灰色的。OK,这就说明不需要SSL连接。
))
这里,你的SSL是灰色的,那就不需要SSL连接,我这边配置的时候,在窗口右侧还会出现一个感叹号: 提示,((此站点没有安全绑定HTTPS ,无法接受SSL接受))我的所有问题是不是出在这里,我应该怎么解决。。。 QQ 150576077 望回复