Win2008:远程访问SSL-VPN服务器攻略之三

　　六、在DC上配置拨入连接账号。

　　七、在AD CA服务器上配置IIS，以使能通过HTTP连接至CRL目录。

　　八、在SSTP VPN客户端设置HOSTS文件。

　　九、在SSTP VPN客户端使用PPTP协议连接SSTP VPN服务器。

　　十、在SSTP VPN客户端从企业CA下载CA证书，并在客户端机器上安装。

　　十一、配置SSTP VPN客户端使用SSTP技术连接SSTP VPN服务器。

　　在前面两篇博文中，介绍了如何设置WINDOWS 2008作为VPN、NAT服务器角色，以及如何设置DC成为AD CA服务器。接下来，将重点放在SSTP VPN客户端，通过配置来实现SSTP技术的应用。

　　同时，强烈建议对企业根CA不了解的朋友，在网络上找相关资料加深了解。学会使用GOOGLE是一个不错的建议。

　　六、在DC上配置拨入连接账号

　　无论WINDOWS的任何版本，在使用VPN技术时，都应当在VPN服务器创建用户账户，并充许其拨入的权限。

　　WINDOWS 2008有所不同的时，用户账号属性中“拨入”的“网络访问权限”增加了一项“通过NPS网络策略控制访问”。这是一个不错的主意：通过网络策略来充许达到策略要求的拨入账户访问或有限访问特殊的网络(如企业内部网络)。安全性上有很大的提升，管理上也更加方便。但NPS不是这次实验的主要目的，而且并没有安装此角色服务。

　　在此场景中，用户账号拨入的网络权限仍与之前WINDOWS版本的做法相同：充许访问。

　　1、在DC机器中，依次打开--开始—管理工具—Active Directory 用户和计算机。

　　2、展开至“用户”节点，在右侧面板中选择administrator,右键属性，在拨入—网络访问权限---充许访问前面打上对勾。

　　这里需要说明的是，由于是域环境，且SSTP VPN服务器是域成员服务器，所以只需在DC上充许一个账户具有拨入访问权限便可。

　　七、在AD CA服务器上配置IIS，以使能通过HTTP连接至CRL目录

　　基于一些原因，使用安装向导安装证书服务WEB站点时，会设置成需要SSL 连接至CRL目录。从安全角度来说，看起来是一个好主意，但问题是连接至证书在线注册申请站点的URL并不使用SSL。

　　由此，在进行接下来的操作之前，先要确认CRL目录并不需要使用SSL 连接。

　　1、在DC机器中，依次打开--开始—管理工具-Internet信息服务(IIS)管理器

　　2、展开至“CertEnroll”节点，并选择中间控制面板下方的“内容视图”，这些就是CRL目录的内容了。

　　3、在同一窗口中，选择“功能视图”，并找到“SSL 设置”项，双击后可以看到“需求SSL”前面的按钮是灰色的。OK，这就说明不需要SSL连接。

　　八、在SSTP VPN客户端设置HOSTS文件

　　在生产环境中，这一步是可以省略的，只需要在域名ISP那注册相应域名便可以。但本场景为实验环境，最大的区别就是在于没有新建DNS来解析。

　　OK，在SSTP VPN客户端，运行命令notepad c:\windows\system32\drivers\etc\hosts(注意，在保存之前应确保这个文件具有被修改的权限哟)，然后输入：

　　166.111.8.2 sstp.contoso.com

　　166.111.8.2 win2k8dc.contoso.com(这个为域控的，可以省去)

　　九、在SSTP VPN客户端使用PPTP协议连接SSTP VPN服务器

　　由于SSTP VPN客户端不是域成员机器，故CA证书不会自动安装在“受信受的根证书颁发机构”中。

　　那如何才能解决在客户端上安装CA证书的问题呢？呵呵，可以新建一个PPTP连接至SSTP VPN服务器，然后呢，通过WEB的方式来下载一个CA证书。

　　当然，也可以先下载后，直接传到这台机器上。

　　在这个场景中，是以先建立PPTP连接来实现的。

　　1、在SSTP VPN客户端，打开“网络和共享中心”，在右侧的任务栏，选择“设置连接或网络”，在弹出的“选择一个连接选项”界面中，选择“连接到工作区”。并在接下来的“你想如何连接”中，选择“使用我的INTERNET连接至VPN”，并下一步，(如果出现，现在设置INTERNET连接，选择“稍后设置”，至于原因嘛，很明了哟，咱们现在不是实验环境)在“键入要连接的INTERNET地址”，输入图中所示内容：sstp.contoso.com，至于目标名称，随意填写。下一步：