Microsoft Forefront TMG實現SSTP ×××

原創 arenhliu 2019-07-19 13:47

我們都知道,Windows Server 2008的×××有三種類型:PPTP、L2TP/IPSec、SSTP。而對於SSTP×××直接走443端口,增加了通用性。而對於ISA2004/2006均不可以實現這種類型的×××,而最近微軟發佈的新產品TMG增加了對SSTP×××的支持,今天我們就來看一下,這三種類型的×××在TMG下的實現方式:

對於本內容我們分三次進行,這是我們的第三次課,SSTP ×××的實現過程:

前言:

對於×××的工作過程,不外乎兩個階段:身份驗證和授權,對於身份驗證說白了其實就是對用戶進行合法性驗證,即是否是對應數據庫裏的用戶,並且密碼驗證也通過。授權,即該用戶必須有拔入權限。

實驗拓樸:

clip_p_w_picpath001

三臺機器,所有配置如上所示,初始環境已經搭建結束,如W08a是DC和DNS,CA並沒有安裝。W08c是TMG服務器,並已經安裝了TMG,遠程客戶端win7的TCP相關配置如上。接下來我們來看SSTP×××的實現過程:

分析:

1. 要實現SSTP×××我們必須要有CA服務器,即必須爲TMG這臺服務器準備計算機證書,同時爲遠程客戶端安裝CA的根證書。當然如果在生產環境裏,我們完全可以去商業CA那裏爲TMG服務器申請併購買計算機證書,在這裏我們爲了測試就直接在企業內部搭建自己的CA了。

2.遠程客戶端在使用SSTP的方式連接TMG時,必須要下載TMG的服務器證書,當然也必須有能力驗證該證書的有效性,即遠程客戶端必須能聯繫CA的證書吊銷服務器,由於我們在企業內部搭建的CA服務器,故我們必須在TMG上把內部的證書吊銷服務器的WEB站點發布到公網。

3.遠程客戶端必須使用TMG服務器證書的名字來聯繫TMG服務器並下載該服務器的證書。故必須保證在遠程客戶端上通過公網DNS可以解析TMG服務器的名稱爲TMG服務器公網網卡的IP,在這裏,由於是測試環境,我們採用Hosts文件實現名稱的解析。

大致步驟:

一、解決證書問題:

1.在企業內部搭建根CA(獨立CA),同時安裝WEB申請組件。

2.在TMG上申請計算機證書並下載CA的根證書並安裝到計算機存儲列表中。

3.在遠程客戶端下載CA的根證書並安裝到計算機存儲列表中。

二、TMG上的配置:

1.在TMG上完成SSTP ×××的配置並創建相應的訪問規則及用戶拔入權限。

2.在TMG上完成內部證書吊銷服務器WEB站點的發佈。

三、遠程客戶端的配置:

1.在Win7上創建×××拔號連接

2.修改Hosts文件

3.並測試。

四、總結


實現過程:

一、解決證書問題:

1.在企業內部搭建根CA(獨立CA),同時安裝WEB申請組件。

2.在TMG上申請計算機證書並下載CA的根證書並安裝到計算機存儲列表中。

3.在遠程客戶端下載CA的根證書並安裝到計算機存儲列表中。

有關證書問題,各位可以參考《TMG實現L2TP/IPSec ×××---TMG2010 ×××系列之二》,注意在配置L2TP/IPSec×××時我們在客戶端也申請了計算機證書,但在SSTP ×××中,我們可以只爲客戶端下載CA的根證書就可以了。

詳細的操作,此外略。

二、TMG上的配置:

1.在TMG上完成SSTP ×××的配置並創建相應的訪問規則及用戶拔入權限。

此處配置,基本上和《TMG實現L2TP/IPSec ×××---TMG2010 ×××系列之二》類似,唯一不同我們選擇×××協議是SSTP,並且要創建一個“偵聽器”,具體操作如下所示:

(PS:所謂偵聽器,也就是我們需要確定讓我們的TMG在哪個網絡接口接收客戶端的訪問請求,在這裏由於實現SSTP的×××,所以需要在TMG公網卡的443端口偵聽來公網的請求,並且我們需要選擇一個證書,當客戶端連接此網絡接口時,TMG會把該證書傳送給客戶端。從而實現將來的安全通信)

clip_p_w_picpath002

如下圖,我們單擊“新建”,如下:

clip_p_w_picpath003


clip_p_w_picpath004


clip_p_w_picpath005


clip_p_w_picpath006


clip_p_w_picpath007


clip_p_w_picpath008


clip_p_w_picpath009


clip_p_w_picpath010

2.在TMG上完成內部證書吊銷服務器WEB站點的發佈。

分析:當遠程客戶端從TMG下載到證書之後,需要聯繫“證書吊銷服務器”來驗證該證書是否有效,故在×××未建立之前遠程客戶端必須有聯繫證書吊銷服務器,因爲在我們實驗環境裏,CA和證書吊銷服務器均是內網的w08a.contoso.com,所以我們必須通過“WEB服務器發佈規則”把證書吊銷服務器的WEB站點發布出來。

(1)創建Web偵聽器:

如圖所示,選擇“新建WEB偵聽器”。

clip_p_w_picpath011


clip_p_w_picpath012


clip_p_w_picpath013


clip_p_w_picpath014


clip_p_w_picpath015


clip_p_w_picpath016

(2)新建WEB發佈規則:

具體操作過程如下:

clip_p_w_picpath017


clip_p_w_picpath018


clip_p_w_picpath019


clip_p_w_picpath020


clip_p_w_picpath021


clip_p_w_picpath022


clip_p_w_picpath023


clip_p_w_picpath024


clip_p_w_picpath025


clip_p_w_picpath026


clip_p_w_picpath027

到如上,也可以單擊上圖中的“測試規則”,如果有問題也有相應的提示。

三、遠程客戶端的配置:

1.在Win7上創建×××拔號連接

基本上和L2TP/IPSec ×××的拔號創建差不多,唯一不同的,選擇×××類型爲SSTP,並且連接從IP改爲名字。如下所示:

clip_p_w_picpath028


clip_p_w_picpath029

2.修改Hosts文件

如上,要保證w08c能解析爲172.16.1.1,此外還要能保證當從遠程客戶端訪問http://w08a.contoso.com時能定位到CA服務器,所以我們通過Hosts文件的來完成名字解析,修改如下:

以管理員身份運行cmd(什麼!不會!哈哈,右擊CMD,選擇“以管理員身份運行”就可以了),輸入以下命令:

clip_p_w_picpath030

保存關閉文件即可。

3.並測試。

clip_p_w_picpath031

四、總結:

配置SSTP ×××關鍵點:

1.證書的申請並安裝。

2.證書吊銷服務器的發佈。

而查看證書吊銷服務器可以通過證書文件來查看,如下圖所示:

clip_p_w_picpath032

因此在公網能訪問此WEB站點。名字當然也必須一樣的。


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

用TMG搭建×××服務器(五)---基於L2TP的站點到站點×××

arenhliu 2020-05-31 14:30:41

用TMG搭建×××服務器(三)---SSTP ×××

arenhliu 2020-05-31 14:30:41

用TMG搭建×××服務器(一)---PPTP ×××

arenhliu 2019-07-19 13:47:01

用TMG搭建×××服務器(五)---基於L2TP的站點到站點×××

arenhliu 2020-05-31 14:30:41

用TMG搭建×××服務器(三)---SSTP ×××

arenhliu 2020-05-31 14:30:41

用TMG搭建×××服務器(一)---PPTP ×××

arenhliu 2019-07-19 13:47:01

1.關於Forefront TMG版本

小輝hui 2019-02-23 00:00:18

用TMG搭建***服務器(四)---基於PPTP的站點到站點***

arenhliu 2018-09-12 06:22:16

用TMG搭建***服務器(三)---SSTP ***

arenhliu 2018-09-12 06:22:13

用TMG搭建***服務器(二)---L2TP/IPsec ***

arenhliu 2018-09-12 06:22:12

用TMG搭建***服務器(五)---基於L2TP的站點到站點***

arenhliu 2018-09-12 06:22:12

4.配置自動檢測-在dns中創建wpad項目

小輝hui 2018-09-12 02:56:30

2.域環境下安裝準備

小輝hui 2018-09-12 02:56:30

5.DNS全局阻止列表對wpad的影響及解決辦法

小輝hui 2018-09-12 02:56:29

3.域環境下安裝

小輝hui 2018-09-12 02:56:29