配置windows 2008 作为远程访问SSL-×××服务器系列之二
生活随笔
收集整理的這篇文章主要介紹了
配置windows 2008 作为远程访问SSL-×××服务器系列之二
小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
如需轉(zhuǎn)載,請(qǐng)經(jīng)我充許后方可。By RickyFang/下里巴人
你也許需要看看:
配置windows 2008 作為遠(yuǎn)程訪(fǎng)問(wèn)SSL-×××服務(wù)器系列之一
配置windows 2008 作為遠(yuǎn)程訪(fǎng)問(wèn)SSL-×××服務(wù)器系列之三
在此部分中將進(jìn)行如下操作:
一、在WIN2K8 DC上安裝AD證書(shū)服務(wù),并設(shè)置為企業(yè)根。
二、在SSTP ×××服務(wù)器上安裝IIS7.0
三、在SSTP ×××服務(wù)器上使用IIS7.0中的證書(shū)請(qǐng)求向?qū)?#xff0c;為SSTP ×××服務(wù)器請(qǐng)求一個(gè)機(jī)器證書(shū)。
四、在SSTP ×××服務(wù)器安裝RRAS角色,并配置其為×××和NAT服務(wù)器。
五、配置NAT服務(wù)器以發(fā)布CRL(證書(shū)吊銷(xiāo)列表)
一、在WIN2K8 DC上安裝AD證書(shū)服務(wù),并設(shè)置為企業(yè)根。
1、在WIN2K8 DC上,打開(kāi)服務(wù)器管理器,在“角色”中點(diǎn)選“添加角色”,并在彈出添加角色向?qū)е悬c(diǎn)選“ACTIVE DIRECTORY 證書(shū)服務(wù)”,下一步:
2、在“選擇角色服務(wù)”窗口中,選擇“證書(shū)頒發(fā)機(jī)構(gòu)”以及“證書(shū)頒發(fā)機(jī)構(gòu)WEB注冊(cè)”兩項(xiàng),同時(shí),在選擇“證書(shū)頒發(fā)機(jī)構(gòu)WEB注冊(cè)”后彈出的窗口中,點(diǎn)“添加必要的角色服務(wù)”。下一步:
3、在“指定安裝類(lèi)型”窗口中,選擇“企業(yè)“項(xiàng)。(當(dāng)然也可以選擇獨(dú)立項(xiàng),但顯然,這不是這次實(shí)驗(yàn)的目的,如果今后有時(shí)間,我會(huì)以此次實(shí)驗(yàn)拓樸為原型,改變CA角色到SSTP ×××服務(wù)器上,并設(shè)置成獨(dú)立CA。也許還簡(jiǎn)單些。)下一(幾)步:
4、中間一些過(guò)程略去,實(shí)在沒(méi)有什么可要說(shuō)明的。在“為CA配置加密“以及”配置CA名稱(chēng)“兩個(gè)界面,均按默認(rèn)設(shè)置,并下一步:
??5、在“確認(rèn)安裝選擇“界面,通過(guò)下拉右側(cè)按鈕可以清楚的看到之前的設(shè)定,如果你認(rèn)為沒(méi)有問(wèn)題,就選擇安裝,如果你認(rèn)為還需要更改,就選上一步。此處,選擇”安裝“。
6、“AD CS“,AD證書(shū)服務(wù)安裝完成后的界面如下。至此,完成了AD CS的角色及角色服務(wù)安裝。
二、在SSTP ×××服務(wù)器上安裝IIS7.0
?????? 在上一個(gè)板塊,已介紹了如何在WIN2K8上安裝CA角色,并同時(shí)安裝了WEB注冊(cè)程序。接下來(lái)的操作將會(huì)在SSTP ×××服務(wù)器進(jìn)行。
???? 進(jìn)行安裝之前,請(qǐng)確認(rèn)SSTP ×××服務(wù)器加入了域:contoso.com。且在此機(jī)器登陸時(shí)是以域用戶(hù)登陸。在此場(chǎng)景中,偶是以域管理員身份在SSTP ×××服務(wù)器上登陸域的(contoso\administrator)。
???? 通常情況下,并不建議把WEB服務(wù)器安裝在一個(gè)負(fù)責(zé)網(wǎng)絡(luò)安全的設(shè)備中,在此場(chǎng)景中,在SSTP ×××服務(wù)器中安裝IIS7.0的目的,就是借此來(lái)在線(xiàn)遞交企業(yè)CA一個(gè)其機(jī)器證書(shū)申請(qǐng)。
???? 如果采用的是獨(dú)立CA,且把證書(shū)服務(wù)安裝在SSTP ×××服務(wù)器上,你就可以省去一些麻煩,至少不用在接下來(lái)圖中安裝一些IIS7.0的安全組件了。但很顯然,這不是設(shè)計(jì)此次實(shí)驗(yàn)的目的。
接下來(lái),請(qǐng)根據(jù)我的圖示一步一步進(jìn)行操作:
1、在SSTP ×××服務(wù)器中,打開(kāi)“服務(wù)器管理器”,并在角色面板中選擇“添加角色”。
2、在“選擇服務(wù)器角色”界面,選擇”WEB服務(wù)器(IIS)”,并在彈出的“添加角色向?qū)А苯缑嬷?#xff0c;點(diǎn)“添加必需的功能”按鈕。(此時(shí),所安裝的只是默認(rèn)配置,還需要進(jìn)行定制)才能滿(mǎn)足實(shí)驗(yàn)需求并下一步:
3、在“選擇角色服務(wù)”界面,拖動(dòng)按鈕至中間,并在“安全性”選項(xiàng)前全部打上對(duì)勾,請(qǐng)務(wù)必如此,這些動(dòng)作是為下面的服務(wù)器證書(shū)做好組件安裝準(zhǔn)備的,否則你就不能使用證書(shū)申請(qǐng)向?qū)Я恕_x擇后,下一步:
4、在出現(xiàn)的“確認(rèn)安裝選擇”界面,點(diǎn)下方的“安裝”按鈕,進(jìn)行角色及角色服務(wù)的安裝進(jìn)程。一些時(shí)間后出現(xiàn)“安裝結(jié)果”窗口,安裝完成。“關(guān)閉”窗口。
三、在SSTP ×××服務(wù)器上使用IIS7.0中的證書(shū)請(qǐng)求向?qū)?#xff0c;為SSTP ×××服務(wù)器請(qǐng)求一個(gè)機(jī)器證書(shū)。
???? 在二中,我們定制安裝了IIS7.0服務(wù)器,接下來(lái)的操作就是為SSTP ×××服務(wù)器申請(qǐng)一個(gè)機(jī)器證書(shū)。
SSTP ×××服務(wù)器需要一個(gè)機(jī)器證書(shū)來(lái)創(chuàng)建與SSL ×××客戶(hù)端的SSL ×××確連接。這個(gè)機(jī)器證書(shū)中的“通用名稱(chēng)”必需是SSL ×××客戶(hù)端連接SSTP ×××服務(wù)器所使用的名子(DNS域名)。故為了解析SSTP ×××服務(wù)器的公網(wǎng)IP地址,需要為此名字創(chuàng)建DNS 記錄。
??以下操作是在SSTP ×××服務(wù)器中進(jìn)行。
1、打開(kāi)服務(wù)器管理器,展開(kāi)“角色”至“INTERNET信息服務(wù)器”(也可以通過(guò)管理工具打開(kāi)它)項(xiàng)。并點(diǎn)選中間控制面板中的×××(×××\administrator)(嚴(yán)重注意,此處應(yīng)是contoso\administrator,這個(gè)截圖是我沒(méi)有以域用戶(hù)登陸的結(jié)果,但此時(shí),并不會(huì)影響接下來(lái)的實(shí)驗(yàn)的)。在右側(cè)控制面板中可以看到“服務(wù)器證書(shū)”選項(xiàng)。接下的操作都與此有關(guān)。雙擊或是點(diǎn)右上角的“打開(kāi)功能”以打開(kāi)它。
2、在打開(kāi)的“服務(wù)器證書(shū)”控制面板中,選擇右側(cè)的“創(chuàng)建域證書(shū)”,并在彈出的“可分辨名稱(chēng)屬性”對(duì)話(huà)框中,填入圖中所示內(nèi)容(你可以有所不同,根據(jù)環(huán)境需要)。值得注意的是,這里的sstp.contoso.com,是對(duì)應(yīng)當(dāng)?shù)絊STP ×××服務(wù)器的外部IP的,由于這里只是測(cè)試環(huán)境,你需要在SSTP ×××客戶(hù)端的主機(jī)文件里新建DNS A記錄。下一步:
3、此時(shí)的登陸帳號(hào)是contoso\administrator,實(shí)際上第一步開(kāi)始就應(yīng)當(dāng)是如此顯示,但做到這一步時(shí)才發(fā)現(xiàn),故之前兩張截圖并沒(méi)有更改過(guò)來(lái),請(qǐng)有心人注意。也只有顯示contoso\users這樣的情況時(shí),才會(huì)出現(xiàn)圖中標(biāo)示的“選擇”按鈕可用。否則,你只有手動(dòng)填寫(xiě),并有可能出現(xiàn)驗(yàn)證問(wèn)題。
點(diǎn)選“選擇”按鈕,在彈出的對(duì)話(huà)框中選擇證書(shū)頒發(fā)機(jī)構(gòu)。確定。并在“好記名稱(chēng)”對(duì)話(huà)框中填上你認(rèn)為的好記的稱(chēng)便可。然后,點(diǎn)“完成“按鈕。
3、下圖所示是創(chuàng)建完成后的證書(shū)申請(qǐng)屬性的“詳細(xì)信息“界面。
四、在SSTP ×××服務(wù)器安裝RRAS角色,并配置其為×××和NAT服務(wù)器。
???? 在WINDOWS 2008里,路由和遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)器安裝方法和之前的WINDOWS系統(tǒng)有所不同,它作為一項(xiàng)角色服務(wù)包含在“網(wǎng)絡(luò)策略和訪(fǎng)問(wèn)服務(wù)”角色中。而“網(wǎng)絡(luò)策略和訪(fǎng)問(wèn)服務(wù)”提供網(wǎng)絡(luò)策略服務(wù)器(NPS)、路由與遠(yuǎn)程訪(fǎng)問(wèn)、健康注冊(cè)頒發(fā)機(jī)構(gòu)(HRA)和主機(jī)憑據(jù)授權(quán)協(xié)議(HCAP),這些都有助于網(wǎng)絡(luò)的健康和安全。
???? 在此次實(shí)驗(yàn)中,本不需要NAT 服務(wù)器角色的,為何,不但要把此SSTP ×××服務(wù)器做為×××服務(wù)器,還要實(shí)現(xiàn)其N(xiāo)AT的功能呢?前面已講到,SSL ×××客戶(hù)端需要下載CRL,這時(shí)的NAT功能就是起到轉(zhuǎn)發(fā)此通訊流量至內(nèi)部網(wǎng)絡(luò)的AD CA服務(wù)器上。否則,SSTP ×××服務(wù)器連接將失效。
???? 同時(shí),為了能訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)的CRL,不但要配置SSTP ×××服務(wù)器做為NAT服務(wù)器,還要在通過(guò)NAT來(lái)發(fā)布CRL(也許,在生產(chǎn)環(huán)境中,你需要通過(guò)一個(gè)防火墻來(lái)發(fā)布此CRL)。
1、打開(kāi)服務(wù)器管理器,并展開(kāi)“角色”項(xiàng)。點(diǎn)右側(cè)面板的“添加角色”按鈕。在彈出的“選擇服務(wù)器角色”窗口中,選擇“網(wǎng)絡(luò)策略與訪(fǎng)問(wèn)服務(wù)”。下一步:
2、在彈出的“選擇角色服務(wù)”窗口中,選擇“路由和遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)”,并確保“遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)”、“路由”兩項(xiàng)被選定。并點(diǎn)下一步,直至完成此角色的安裝。
3、完成安裝后,展開(kāi)“角色”、“網(wǎng)絡(luò)策略和訪(fǎng)問(wèn)服務(wù)”,右鍵選擇“配置并啟用路由和遠(yuǎn)程訪(fǎng)問(wèn)”。
4、在“路由和遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)歡迎向?qū)А苯缑?#xff0c;點(diǎn)下一步。
5、在彈出的“配置”界面,在“虛擬專(zhuān)用網(wǎng)絡(luò)(×××)和NAT”打上對(duì)勾。下一步:
6、在“×××連接”界面,選擇名稱(chēng)為“WAI”的網(wǎng)卡,下一步:
7、在接下來(lái)的界面中選擇“來(lái)自一個(gè)指定的地址范圍”,并下一步,在“地址范圍分配”界面,輸入新的地址范圍,并確定后,下一步:
8、在“管理多個(gè)遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)器”界面,由于沒(méi)有內(nèi)部的RADIUS服務(wù)器,此處選擇第一項(xiàng)“否,使用路由和遠(yuǎn)程訪(fǎng)問(wèn)來(lái)對(duì)連接進(jìn)行身份驗(yàn)證”。下一步:
?? 9、在“正在完成路由和遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)服務(wù)器安裝向?qū)А苯缑?#xff0c;點(diǎn)完成,并在彈出的消息對(duì)話(huà)框中點(diǎn)”O(jiān)K”。
10、完成配置后,展開(kāi)至“端口”處,并下拉右側(cè)按鈕至中間,此時(shí),可以看到SSTP已創(chuàng)建。
五、配置NAT服務(wù)器以發(fā)布CRL(證書(shū)吊銷(xiāo)列表)
???? 為了能使SSL ×××客戶(hù)端下載到CRL,就需要配置NAT服務(wù)器,以發(fā)布位于內(nèi)部的AD CA服務(wù)器上的CRL。
???? 但訪(fǎng)問(wèn)CRL的URL地址是什么呢,也許你可以通過(guò)下圖的操作來(lái)發(fā)現(xiàn)(標(biāo)示為×××部分)URL為win2k8dc.contoso.com:
??????
1、展開(kāi)“路由各遠(yuǎn)程訪(fǎng)問(wèn)”至“NAT”項(xiàng),在右側(cè)的面板中,右鍵單擊“WAI”,選屬性:
2、在“WAI屬性”界面中,移動(dòng)鼠標(biāo)至“服務(wù)和端口”項(xiàng),并找到“WEB服務(wù)器(HTTP)”,點(diǎn)選后,會(huì)彈出“編輯服務(wù)”界面,在“專(zhuān)用地址”對(duì)話(huà)框中,填入內(nèi)部的AD CA服務(wù)器的IP地址:10.0.0.2,并兩次確定后,完成此次操作。
????此處注意的是考慮到是實(shí)驗(yàn)環(huán)境,需要在SSL ×××客戶(hù)端的主機(jī)文件中添加上針對(duì)此次發(fā)布的DNS A記錄項(xiàng)。
你也許需要看看:
配置windows 2008 作為遠(yuǎn)程訪(fǎng)問(wèn)SSL-×××服務(wù)器系列之一
配置windows 2008 作為遠(yuǎn)程訪(fǎng)問(wèn)SSL-×××服務(wù)器系列之三
在此部分中將進(jìn)行如下操作:
一、在WIN2K8 DC上安裝AD證書(shū)服務(wù),并設(shè)置為企業(yè)根。
二、在SSTP ×××服務(wù)器上安裝IIS7.0
三、在SSTP ×××服務(wù)器上使用IIS7.0中的證書(shū)請(qǐng)求向?qū)?#xff0c;為SSTP ×××服務(wù)器請(qǐng)求一個(gè)機(jī)器證書(shū)。
四、在SSTP ×××服務(wù)器安裝RRAS角色,并配置其為×××和NAT服務(wù)器。
五、配置NAT服務(wù)器以發(fā)布CRL(證書(shū)吊銷(xiāo)列表)
一、在WIN2K8 DC上安裝AD證書(shū)服務(wù),并設(shè)置為企業(yè)根。
1、在WIN2K8 DC上,打開(kāi)服務(wù)器管理器,在“角色”中點(diǎn)選“添加角色”,并在彈出添加角色向?qū)е悬c(diǎn)選“ACTIVE DIRECTORY 證書(shū)服務(wù)”,下一步:
2、在“選擇角色服務(wù)”窗口中,選擇“證書(shū)頒發(fā)機(jī)構(gòu)”以及“證書(shū)頒發(fā)機(jī)構(gòu)WEB注冊(cè)”兩項(xiàng),同時(shí),在選擇“證書(shū)頒發(fā)機(jī)構(gòu)WEB注冊(cè)”后彈出的窗口中,點(diǎn)“添加必要的角色服務(wù)”。下一步:
3、在“指定安裝類(lèi)型”窗口中,選擇“企業(yè)“項(xiàng)。(當(dāng)然也可以選擇獨(dú)立項(xiàng),但顯然,這不是這次實(shí)驗(yàn)的目的,如果今后有時(shí)間,我會(huì)以此次實(shí)驗(yàn)拓樸為原型,改變CA角色到SSTP ×××服務(wù)器上,并設(shè)置成獨(dú)立CA。也許還簡(jiǎn)單些。)下一(幾)步:
4、中間一些過(guò)程略去,實(shí)在沒(méi)有什么可要說(shuō)明的。在“為CA配置加密“以及”配置CA名稱(chēng)“兩個(gè)界面,均按默認(rèn)設(shè)置,并下一步:
??5、在“確認(rèn)安裝選擇“界面,通過(guò)下拉右側(cè)按鈕可以清楚的看到之前的設(shè)定,如果你認(rèn)為沒(méi)有問(wèn)題,就選擇安裝,如果你認(rèn)為還需要更改,就選上一步。此處,選擇”安裝“。
6、“AD CS“,AD證書(shū)服務(wù)安裝完成后的界面如下。至此,完成了AD CS的角色及角色服務(wù)安裝。
二、在SSTP ×××服務(wù)器上安裝IIS7.0
?????? 在上一個(gè)板塊,已介紹了如何在WIN2K8上安裝CA角色,并同時(shí)安裝了WEB注冊(cè)程序。接下來(lái)的操作將會(huì)在SSTP ×××服務(wù)器進(jìn)行。
???? 進(jìn)行安裝之前,請(qǐng)確認(rèn)SSTP ×××服務(wù)器加入了域:contoso.com。且在此機(jī)器登陸時(shí)是以域用戶(hù)登陸。在此場(chǎng)景中,偶是以域管理員身份在SSTP ×××服務(wù)器上登陸域的(contoso\administrator)。
???? 通常情況下,并不建議把WEB服務(wù)器安裝在一個(gè)負(fù)責(zé)網(wǎng)絡(luò)安全的設(shè)備中,在此場(chǎng)景中,在SSTP ×××服務(wù)器中安裝IIS7.0的目的,就是借此來(lái)在線(xiàn)遞交企業(yè)CA一個(gè)其機(jī)器證書(shū)申請(qǐng)。
???? 如果采用的是獨(dú)立CA,且把證書(shū)服務(wù)安裝在SSTP ×××服務(wù)器上,你就可以省去一些麻煩,至少不用在接下來(lái)圖中安裝一些IIS7.0的安全組件了。但很顯然,這不是設(shè)計(jì)此次實(shí)驗(yàn)的目的。
接下來(lái),請(qǐng)根據(jù)我的圖示一步一步進(jìn)行操作:
1、在SSTP ×××服務(wù)器中,打開(kāi)“服務(wù)器管理器”,并在角色面板中選擇“添加角色”。
2、在“選擇服務(wù)器角色”界面,選擇”WEB服務(wù)器(IIS)”,并在彈出的“添加角色向?qū)А苯缑嬷?#xff0c;點(diǎn)“添加必需的功能”按鈕。(此時(shí),所安裝的只是默認(rèn)配置,還需要進(jìn)行定制)才能滿(mǎn)足實(shí)驗(yàn)需求并下一步:
3、在“選擇角色服務(wù)”界面,拖動(dòng)按鈕至中間,并在“安全性”選項(xiàng)前全部打上對(duì)勾,請(qǐng)務(wù)必如此,這些動(dòng)作是為下面的服務(wù)器證書(shū)做好組件安裝準(zhǔn)備的,否則你就不能使用證書(shū)申請(qǐng)向?qū)Я恕_x擇后,下一步:
4、在出現(xiàn)的“確認(rèn)安裝選擇”界面,點(diǎn)下方的“安裝”按鈕,進(jìn)行角色及角色服務(wù)的安裝進(jìn)程。一些時(shí)間后出現(xiàn)“安裝結(jié)果”窗口,安裝完成。“關(guān)閉”窗口。
三、在SSTP ×××服務(wù)器上使用IIS7.0中的證書(shū)請(qǐng)求向?qū)?#xff0c;為SSTP ×××服務(wù)器請(qǐng)求一個(gè)機(jī)器證書(shū)。
???? 在二中,我們定制安裝了IIS7.0服務(wù)器,接下來(lái)的操作就是為SSTP ×××服務(wù)器申請(qǐng)一個(gè)機(jī)器證書(shū)。
SSTP ×××服務(wù)器需要一個(gè)機(jī)器證書(shū)來(lái)創(chuàng)建與SSL ×××客戶(hù)端的SSL ×××確連接。這個(gè)機(jī)器證書(shū)中的“通用名稱(chēng)”必需是SSL ×××客戶(hù)端連接SSTP ×××服務(wù)器所使用的名子(DNS域名)。故為了解析SSTP ×××服務(wù)器的公網(wǎng)IP地址,需要為此名字創(chuàng)建DNS 記錄。
??以下操作是在SSTP ×××服務(wù)器中進(jìn)行。
1、打開(kāi)服務(wù)器管理器,展開(kāi)“角色”至“INTERNET信息服務(wù)器”(也可以通過(guò)管理工具打開(kāi)它)項(xiàng)。并點(diǎn)選中間控制面板中的×××(×××\administrator)(嚴(yán)重注意,此處應(yīng)是contoso\administrator,這個(gè)截圖是我沒(méi)有以域用戶(hù)登陸的結(jié)果,但此時(shí),并不會(huì)影響接下來(lái)的實(shí)驗(yàn)的)。在右側(cè)控制面板中可以看到“服務(wù)器證書(shū)”選項(xiàng)。接下的操作都與此有關(guān)。雙擊或是點(diǎn)右上角的“打開(kāi)功能”以打開(kāi)它。
2、在打開(kāi)的“服務(wù)器證書(shū)”控制面板中,選擇右側(cè)的“創(chuàng)建域證書(shū)”,并在彈出的“可分辨名稱(chēng)屬性”對(duì)話(huà)框中,填入圖中所示內(nèi)容(你可以有所不同,根據(jù)環(huán)境需要)。值得注意的是,這里的sstp.contoso.com,是對(duì)應(yīng)當(dāng)?shù)絊STP ×××服務(wù)器的外部IP的,由于這里只是測(cè)試環(huán)境,你需要在SSTP ×××客戶(hù)端的主機(jī)文件里新建DNS A記錄。下一步:
3、此時(shí)的登陸帳號(hào)是contoso\administrator,實(shí)際上第一步開(kāi)始就應(yīng)當(dāng)是如此顯示,但做到這一步時(shí)才發(fā)現(xiàn),故之前兩張截圖并沒(méi)有更改過(guò)來(lái),請(qǐng)有心人注意。也只有顯示contoso\users這樣的情況時(shí),才會(huì)出現(xiàn)圖中標(biāo)示的“選擇”按鈕可用。否則,你只有手動(dòng)填寫(xiě),并有可能出現(xiàn)驗(yàn)證問(wèn)題。
點(diǎn)選“選擇”按鈕,在彈出的對(duì)話(huà)框中選擇證書(shū)頒發(fā)機(jī)構(gòu)。確定。并在“好記名稱(chēng)”對(duì)話(huà)框中填上你認(rèn)為的好記的稱(chēng)便可。然后,點(diǎn)“完成“按鈕。
3、下圖所示是創(chuàng)建完成后的證書(shū)申請(qǐng)屬性的“詳細(xì)信息“界面。
四、在SSTP ×××服務(wù)器安裝RRAS角色,并配置其為×××和NAT服務(wù)器。
???? 在WINDOWS 2008里,路由和遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)器安裝方法和之前的WINDOWS系統(tǒng)有所不同,它作為一項(xiàng)角色服務(wù)包含在“網(wǎng)絡(luò)策略和訪(fǎng)問(wèn)服務(wù)”角色中。而“網(wǎng)絡(luò)策略和訪(fǎng)問(wèn)服務(wù)”提供網(wǎng)絡(luò)策略服務(wù)器(NPS)、路由與遠(yuǎn)程訪(fǎng)問(wèn)、健康注冊(cè)頒發(fā)機(jī)構(gòu)(HRA)和主機(jī)憑據(jù)授權(quán)協(xié)議(HCAP),這些都有助于網(wǎng)絡(luò)的健康和安全。
???? 在此次實(shí)驗(yàn)中,本不需要NAT 服務(wù)器角色的,為何,不但要把此SSTP ×××服務(wù)器做為×××服務(wù)器,還要實(shí)現(xiàn)其N(xiāo)AT的功能呢?前面已講到,SSL ×××客戶(hù)端需要下載CRL,這時(shí)的NAT功能就是起到轉(zhuǎn)發(fā)此通訊流量至內(nèi)部網(wǎng)絡(luò)的AD CA服務(wù)器上。否則,SSTP ×××服務(wù)器連接將失效。
???? 同時(shí),為了能訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)的CRL,不但要配置SSTP ×××服務(wù)器做為NAT服務(wù)器,還要在通過(guò)NAT來(lái)發(fā)布CRL(也許,在生產(chǎn)環(huán)境中,你需要通過(guò)一個(gè)防火墻來(lái)發(fā)布此CRL)。
1、打開(kāi)服務(wù)器管理器,并展開(kāi)“角色”項(xiàng)。點(diǎn)右側(cè)面板的“添加角色”按鈕。在彈出的“選擇服務(wù)器角色”窗口中,選擇“網(wǎng)絡(luò)策略與訪(fǎng)問(wèn)服務(wù)”。下一步:
2、在彈出的“選擇角色服務(wù)”窗口中,選擇“路由和遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)”,并確保“遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)”、“路由”兩項(xiàng)被選定。并點(diǎn)下一步,直至完成此角色的安裝。
3、完成安裝后,展開(kāi)“角色”、“網(wǎng)絡(luò)策略和訪(fǎng)問(wèn)服務(wù)”,右鍵選擇“配置并啟用路由和遠(yuǎn)程訪(fǎng)問(wèn)”。
4、在“路由和遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)歡迎向?qū)А苯缑?#xff0c;點(diǎn)下一步。
5、在彈出的“配置”界面,在“虛擬專(zhuān)用網(wǎng)絡(luò)(×××)和NAT”打上對(duì)勾。下一步:
6、在“×××連接”界面,選擇名稱(chēng)為“WAI”的網(wǎng)卡,下一步:
7、在接下來(lái)的界面中選擇“來(lái)自一個(gè)指定的地址范圍”,并下一步,在“地址范圍分配”界面,輸入新的地址范圍,并確定后,下一步:
8、在“管理多個(gè)遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)器”界面,由于沒(méi)有內(nèi)部的RADIUS服務(wù)器,此處選擇第一項(xiàng)“否,使用路由和遠(yuǎn)程訪(fǎng)問(wèn)來(lái)對(duì)連接進(jìn)行身份驗(yàn)證”。下一步:
?? 9、在“正在完成路由和遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)服務(wù)器安裝向?qū)А苯缑?#xff0c;點(diǎn)完成,并在彈出的消息對(duì)話(huà)框中點(diǎn)”O(jiān)K”。
10、完成配置后,展開(kāi)至“端口”處,并下拉右側(cè)按鈕至中間,此時(shí),可以看到SSTP已創(chuàng)建。
五、配置NAT服務(wù)器以發(fā)布CRL(證書(shū)吊銷(xiāo)列表)
???? 為了能使SSL ×××客戶(hù)端下載到CRL,就需要配置NAT服務(wù)器,以發(fā)布位于內(nèi)部的AD CA服務(wù)器上的CRL。
???? 但訪(fǎng)問(wèn)CRL的URL地址是什么呢,也許你可以通過(guò)下圖的操作來(lái)發(fā)現(xiàn)(標(biāo)示為×××部分)URL為win2k8dc.contoso.com:
??????
1、展開(kāi)“路由各遠(yuǎn)程訪(fǎng)問(wèn)”至“NAT”項(xiàng),在右側(cè)的面板中,右鍵單擊“WAI”,選屬性:
2、在“WAI屬性”界面中,移動(dòng)鼠標(biāo)至“服務(wù)和端口”項(xiàng),并找到“WEB服務(wù)器(HTTP)”,點(diǎn)選后,會(huì)彈出“編輯服務(wù)”界面,在“專(zhuān)用地址”對(duì)話(huà)框中,填入內(nèi)部的AD CA服務(wù)器的IP地址:10.0.0.2,并兩次確定后,完成此次操作。
????此處注意的是考慮到是實(shí)驗(yàn)環(huán)境,需要在SSL ×××客戶(hù)端的主機(jī)文件中添加上針對(duì)此次發(fā)布的DNS A記錄項(xiàng)。
轉(zhuǎn)載于:https://blog.51cto.com/rickyfang/91466
總結(jié)
以上是生活随笔為你收集整理的配置windows 2008 作为远程访问SSL-×××服务器系列之二的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 2008高考零分作文---大事与小事
- 下一篇: A Windows Mobile GPS