TMG實現L2TP/IPSec ***---TMG 2010 ***系列之二

    我們都知道，Windows Server 2008的***有三種類型：PPTP、L2TP/IPSec、SSTP。而對於SSTP ***直接走443端口，增加了通用性。而對於ISA2004/2006均不可以實現這種類型的***，而最近微軟發佈的新產品TMG增加了對SSTP ***的支持，今天我們就來看一下，這三種類型的***在TMG下的實現方式：

    對於本內容我們分三次進行，這是我們的第二次課，L2TP/IPSec ***的實現過程：

    我們的重點解決SSTP的***，但在解決之前，我們可能要進行一系列的測試工作，避免不了使用PPTP或L2TP/IPSec，所有乾脆一併在這裏一一道來，成爲一個***解決系列。

前言：

對於***的工作過程，不外乎兩個階段：身份驗證和授權，對於身份驗證說白了其實就是對用戶進行合法性驗證，即是否是對應數據庫裏的用戶，並且密碼驗證也通過。授權，即該用戶必須有拔入權限。

實驗拓樸：

三臺機器，所有配置如上所示，初始環境已經搭建結束，如W08a是DC和DNS，CA並沒有安裝。W08c是TMG服務器，並已經安裝了TMG，遠程客戶端win7的TCP相關配置如上。接下來我們來看L2TP/IPSec ***的實現過程：

分析：對於L2TP/IPSec ***我們有兩種方式進行計算機的身份驗證和加密，一種是使用預共享密鑰，一種是使用證書。在這裏我們採用證書完成***的操作。所以我們必須爲TMG服務器和遠程客戶端分別申請計算機證書，並下載CA的根證書（安裝到計算機存儲中）。

步驟：

一、在企業內部的W08a上搭建獨立根CA

二、在TMG上申請計算機證書並下載CA的根證書

三、在Win7上申請計算機證書並下載CA的根證書

四、在TMG上完成L2TP/IPSec ***的配置並創建相應的訪問規則及用戶拔入權限。

五、在Win7上創建***拔號連接，並測試。

六、總結

實現過程：

一、在企業內部的W08a上搭建獨立根CA

在W08a上運行“服務器管理器”，在控制檯的“角色”上右擊--“添加角色”，如下所示：選擇" AD CS "單擊“下一步”：

下圖，選擇“證書頒發機構Web註冊”，會彈出關聯組件並選擇安裝，單擊下一步：

下圖，我們選擇"獨立CA”，單擊下一步：

下圖，選擇根CA，繼續：

接下來，基本可以採用默認的設置，一路單擊即可：

安裝結束後如下圖：

開始---搜索，輸入certsrv.msc，右擊Root CA選--屬性，設置CA自動頒發證書。（PS：當然這裏是爲了圖簡單，在生產環境裏當然必須要手動頒發嘍~~），改後，注意要重啓證書服務，此處略~~

二、在TMG上申請計算機證書並下載CA的根證書

1.打開IE，工具---Internet選項，配置“安全級別”，並把CA站點添加到信任區域。

2.在TMG上創建一條“陣列訪問規則”，允許TMG服務器可以訪問CA服務器的HTTP協議。在這裏爲了簡單我們創建一條從本地主機（即TMG）到內部的一條可以訪問全部協議的規則。大致操作如下：

在防火牆策略上新建一條“訪問規則”：如下一系列圖示。

如上圖，僅爲測試，故選擇所有出站通訊，若在生產環境裏，根據情況定義，此處略。

創建結束後，單擊“應用”保存配置，稍等片刻。我們進行下面的操作。

3.爲TMG服務器下載CA的根證書，並安裝到計算機存儲中。

打開IE，在地址欄裏輸入http://10.1.1.5/certsrv，單擊"下載CA證書、證書鏈或CRL"

注意“保存”到本地計算機，如桌面上。

接下來，單擊“開始---搜索”，輸入mmc，如下所示：

如上圖，添加“用戶和計算機”的證書控制檯，然後在下圖所示中，展開“證書（本地計算機）”，導入剛纔下載並保存的CA的根證書，導入後，如下下圖所示。

4. 在TMG上申請計算機證書，並安裝“證書（本地計算機）”的個人存儲中。

如上一樣，打開IE，輸入http://10.1.1.5/certsrv，如下：

如上圖，一定要注意這三項，然後單擊“提交”，如下圖：

單擊“安裝此證書”，注意此時該證書被安裝到了用戶個人存儲中，我們必須再次打剛纔的MMC，把用戶裏的這個證書，帶私鑰導出，然後再導入計算機個人存儲中。

如下所示：（步驟太多，截了幾副，其它未貼出採用默認配置自行處理）

導出證書後，我們還需要如下操作，把該證書導入到計算機個人存儲中，如下：

導完後，如下圖所示：

三、在Win7上申請計算機證書並下載CA的根證書

有關遠程客戶端證書的申請過程和TMG一般無二，但我們要考慮的就是如何實現和CA的連接問題：

兩種方式：

a.如果是單位的筆記本電腦，可以事先申請並安裝，再出差。

b.如果在分支機構的電腦等，我們也可以事先用PPTP的方式連接，然後再申請。

由於步驟一樣，在此不在贅述。

具體見上篇《TMG實現PPTP ***---TMG 2010 ***系列之一》

四、在TMG上完成L2TP/IPSec ***的配置並創建相應的訪問規則及用戶拔入權限。

此處的操作和配置，與上篇的操作和配置基本相同，唯一的區別，如下圖處，我們要選擇***協議爲L2TP/IPSec：

五、在Win7上創建***拔號連接，並測試。

此處的配置基本上和上篇配置類似，唯一的區別，需要更改***的連接選擇L2TP/IPSec，並選擇使用證書，如下圖所示：

連接上來後，如下所示：

六、總結

其實實現L2TP/IPSec ***關鍵還是證書方面，你必須在TMG和遠程客戶端都要下載CA的根證書，並且一定要安裝到計算機存儲列表中，此外兩個計算機證書，名字必須是對應計算機的名字，並且申請時選擇“導出私鑰”，然後利用MMC控制導出並導入計算機存儲中。這是這個實驗成功的關鍵點！在整個實驗過程中，對於TMG還有配置相應的訪問規則。理好思路並不難，就是步驟多了些。

 

 

預告：敬請關注《TMG實現SSTP ***---TMG 2010 ***系列之三》