简介
本文件所提供的详细信息,可教导您如何利用五台计算机来建立一个测试实验室,以供您使用 Windows XP 与 Windows Server 2003 家族来设置及测试虚拟专用网络(VPN)远程访问权限。这些指导的目的是要帮助您逐步完成一些必要的步骤,其中包括设置点对点隧道协议(PPTP)以及第二层隧道协议和 Internet 协议安全性(L2TP/IPSec)连接所需的步骤,以及最后设置使用基于证书的可扩展身份验证协议 - 传输层安全性(EAP-TLS)身份验证的 VPN 连接所需的步骤。
注意:下列指导针对配置使用最少计算机的测试实验室。需要有几台单独的计算机分别负责网络上所提供的服务,并明确地显示想要的功能。这项配置并不是为了展现最佳实践,其设计也并非代表生产网络的理想或建议的配置。该配置,连同 IP 地址与所有其他配置参数,只适用于独立的测试实验室网络。
PPTP 远程访问 VPN 连接
VPN 测试实验室网络的基础结构是由五台运行下列服务的计算机所组成:
| • |
DC1:运行 Windows Server 2003 Enterprise Edition,作为域控制器、域名系统(DNS)服务器、动态主机配置协议(DHCP)服务器及认证中心(CA)。 |
| • |
VPN1:运行 Windows Server 2003 Standard Edition,作为 VPN 服务器。VPN1 安装有两块网络适配器。 |
| • |
IAS1:运行 Windows Server 2003 Standard Edition,作为远程身份验证拨入用户服务(RADIUS)服务器。 |
| • |
IIS1:运行 Windows Server 2003 Standard Edition,作为 Web 与文件服务器。 |
| • |
CLIENT1:运行 Windows XP Professional,作为 VPN 客户端。 |
图 1 显示 VPN 测试实验室的配置。
其中有两个网段,分别代表公司内部网络与 Internet。公司内部网络上所有的计算机都会连接到一个公共集线器或第二层交换机上。Internet 上所有的计算机则会连接到一个独立的公共集线器或第二层交换机上。整个测试实验室配置都使用专用地址。专用网络 172.16.0.0/24 供内部网络使用。专用网络 10.0.0.0/24 供所模拟的 Internet 使用。
IIS1 使用 DHCP 取得 IP 地址配置。CLIENT1 使用 DHCP 作为 IP 地址配置,但它同时也设置了备用的 IP 配置,因此能放置在内部网段上,也能放在所模拟 的 Internet 上。所有其他计算机都须以手动方式设置 IP 地址。没有Windows Internet 名称服务(WINS)服务器可供使用。
下面几节将描述如何配置测试实验室中的每一台计算机,以设置基础结构并运行 PPTP 远程访问连接。一般而言,只有在没有公钥基础结构(PKI)可供分发 L2TP/IPSec 连接所需的计算机证书时,才会使用 PPTP。
若要重新构建此测试实验室,请依下列顺序来配置计算机。本文的其他章节将描述有关 L2TP/IPSec 与 EAP-TLS 远程访问连接的信息。
DC1
DC1 是一部运行 Windows Server 2003 Enterprise Edition 的计算机,可提供下列服务:
| • |
example.com Active Directory 域的域控制器。 |
| • |
example.com DNS 域的 DNS 服务器。 |
| • |
内部网段的 DHCP 服务器。 |
| • |
example.com 域的企业根认证中心(CA)。 |
注意:须使用 Windows Server 2003 Enterprise Edition,才能设置 EAP-TLS 身份验证的用户证书自动注册。相关说明请见本文的“EAP-TLS VPN 远程访问连接”一节。
若要针对上述服务配置 DC1,请执行下列步骤。
|
1. |
安装 Windows Server 2003 Enterprise Edition 作为独立服务器。 |
|
2. |
设置 TCP/IP 隧道协议,其中IP 地址为:172.16.0.1,子网掩码为:255.255.255.0。 |
|
3. |
运行“Active Directory 安装向导”(dcpromo.exe),以便在新的域林中建立名为 example.com 的新域。在出现提示时,安装 DNS 服务。 |
|
4. |
使用“Active Directory 用户和计算机”插件,右击 example.com 网域,再单击提高域功能等级。 |
|
5. |
单击Windows Server 2003,再单击提高等级。 |
|
6. |
使用“控制面板”中的“添加/删除程序”,将动态主机配置协议(DHCP)安装为“网络服务”组件。 |
|
7. |
从“系统管理工具”文件夹打开 DHCP 插件。 |
|
8. |
单击操作,再单击授权,授权 DHCP 服务。 |
|
9. |
在控制台树中,右击dc1.example.com,再单击新建范围. |
|
10. |
在“新建范围向导”的 欢迎使用页面上单击下一步。 |
|
11. |
在范围名称页面上的名称中输入 CorpNet,如下图所示。
|
|
12. |
单击下一步。在IP 地址范围页面上,于起始 IP 地址处输入:172.16.0.10,于结束 IP 地址处输入:172.16.0.100,然后在长度中输入24,如下图所示。
|
|
13. |
单击下一步。在新建排除项目页面上,单击下一步。 |
|
14. |
在借用期限页面上,单击下一步。 |
|
15. |
在设置 DHCP 选项页面上,单击是,我现在就要设置这些选项,如下图所示。
|
|
16. |
单击下一步。在路由器(默认网关)页面上,单击下一步。 |
|
17. |
在域名和 DNS 服务器页面上,于父域处输入example.com。在 IP 地址处输入172.16.0.1,再单击新建,如下图所示。
|
|
18. |
单击下一步。在WINS 服务器页面上,单击下一步。 |
|
19. |
在激活范围页面上单击是,我想立即激活这个范围,如下图所示。
|
|
20. |
单击下一步。在完成新建范围向导页面上,单击完成。 |
|
21. |
使用“控制面板”中的“添加/删除程序”,将“证书服务”组件安装为名为 Example CA 的企业根 CA。 |
|
22. |
打开“Active Directory 用户和计算机”插件。 |
|
23. |
在控制台树中,打开 example.com。 |
|
24. |
右击用户,再单击计算机。 |
|
25. |
在新建目标计算机 对话框中,于计算机名称处输入 IAS1,如下图所示。
|
|
26. |
单击下一步。在受管理的对话框中单击下一步。在 新建目标 计算机对话框中,单击完成。 |
|
27. |
使用步骤 24 至 26 来创建具有下列名称的其他计算机帐户:IIS1、VPN1 及 CLIENT1。 |
|
28. |
在控制台树中,右击用户,再单击 用户。 |
|
29. |
在新建目标用户对话框的名中输入VPNUser,并在用户登录名中输入VPNUser,如下图所示。
|
|
30. |
单击下一步。 |
|
31. |
在新建目标用户对话框中,于密码处随意输入一个密码,并确认密码。清除用户必须在下次登录时修改密码复选框,并选定密码永不过期复选框,如下图所示。
|
|
32. |
在新建目标用户对话框中,单击完成。 |
|
33. |
在控制台树中,右击用户,再单击 组。 |
|
34. |
在新建目标组对话框中,于 组名处输入 VPNUsers,再单击确定,如下图所示。
|
|
35. |
在详细信息窗格中,双击VPNUsers。 |
|
36. |
单击成员选项卡,再单击添加。 |
|
37. |
在选择用户、联系人、计算机或组对话框的输入目标名称进行选取中,键入 vpnuser,如下图所示。
|
|
38. |
单击确定。在找到多个相符项目对话框中,单击确定。VPNUser 用户帐户即会加入 VPNUsers 组中,如下图所示。
|
|
39. |
单击确定,保存对 VPNUsers 组所做的更改。 |
IAS1
IAS1 是一部运行 Windows Server 2003 Standard Edition 的计算机,可为 VPN1 提供 RADIUS 身份验证、授权与帐户处理。若要将 IAS1 设置为 RADIUS 服务器,请执行下列步骤:
|
1. |
安装 Windows Server 2003 Standard Edition,作为 example.com 网域中名为 IAS1 的成员服务器。 |
|
2. |
为内部网络本地连接设置 TCP/IP 隧道协议,其 IP 地址为:172.16.0.2,子网掩码为:255.255.255.0,DNS 服务器的 IP 地址为:172.16.0.1。 |
|
3. |
使用“控制面板”中的“添加/删除程序”,将 Internet 身份验证服务安装为“网络服务”组件。 |
|
4. |
从“系统管理工具”文件夹打开“Internet 身份验证服务”插件。 |
|
5. |
右击“Internet验证服务”,再单击 Active Directory 中的登录服务,将弹出在 Active Directory 中登录 Internet 验证服务对话框,单击确定,如下图所示。
|
|
6. |
在控制台树中,右击客户端,再单击新建 RADIUS 客户端。 |
|
7. |
在“新建 RADIUS 客户端”向导的名称及地址页面上,于友好名称处输入 VPN1。在客户端地址(IP 或 DNS)中输入 172.16.0.3,如下图所示。
|
|
8. |
单击下一步。在“新建 RADIUS 客户端”向导的其他信息页面上,于公共密码中输入 VPN1 的共用密码,然后在确认共用密码中再次输入该密码,如下图所示。
|
|
9. |
单击完成。 |
|
10. |
在控制台树中,右击远程访问策略,再单击新建远程访问策略。 |
|
11. |
在欢迎使用新建远程访问策略向导页面上,单击下一步。 |
|
12. |
在策略配置方法页面的策略名称中输入针对企业内部网的 VPN 远程访问,如下图所示。
|
|
13. |
单击下一步。在访问方法页面上,选择VPN,如下图所示。
|
|
14. |
单击下一步,在用户或组访问页面上,选取组,如下图所示。
|
|
15. |
单击新建,在选择组对话框的输入目标名称进行选取中,键入 vpnusers,如下图所示。
|
|
16. |
单击确定,example.com 网域中的 VPNUsers 组将加入用户或组页面上的组列表中,如下图所示。
|
|
17. |
单击下一步,在身份验证方法页面上,默认选定 MS-CHAP v2 身份验证协议,如下图所示。
|
|
18. |
单击下一步,在策略加密等级页面上,清除基础加密及高级加密复选框,如下图所示。
|
|
19. |
单击下一步,在完成新建远程访问策略页面上,单击完成。 |
IIS1
IIS1 是运行 Windows Server 2003 Standard Edition 及 Internet Information Services (IIS) 的计算机,其针对内部网络客户端提供 Web 及文件服务器服务。若要将 IIS1 设置为 Web 及文件服务器,请执行下列步骤:
|
1. |
安装 Windows Server 2003 Standard Edition,作为 example.com 网域中名为 IIS1 的成员服务器。 |
|
2. |
通过“添加/删除程序”的“Windows 组件安装向导”,将 Internet 信息服务(IIS)安装为“应用程序服务器”组件的子组件。 |
|
3. |
在 IIS1 上,通过 Windows 资源管理器,以共用名称 ROOT 与默认权限,为 C: 驱动器的根文件夹创建新的共享区。 |
|
4. |
若要判断 Web 服务器是否有正常运作,请在 IAS1 上运行 Internet Explorer。若出现“Internet连接向导”提示,请针对 LAN 连接设置 Internet 连接功能。使用 Internet Explorer,在地址中输入http://IIS1.example.com/winxp.gif,您应该会看到一个 Windows XP 图片。 |
|
5. |
若要判断文件共享是否有正常运作,请在 IAS 上,依次单击开始和运行,输入 \\IIS1\ROOT,再单击确定。您应该会在 IIS1 上看到根文件夹(即 C: 驱动器)中的内容。 |
VPN1
VPN1 是一部运行 Windows Server 2003 Standard Edition 的计算机,可为Internet的 VPN 客户端提供 VPN 服务器服务。若要将 VPN1 设置为 VPN 服务器,请执行下列步骤:
|
1. |
安装 Windows Server 2003 Standard Edition,作为 example.com 网域中名为 VPN1 的成员服务器。 |
|
2. |
打开“网络连接”文件夹。 |
|
3. |
若是内部网络本地连接,请将连接重新命名为 CorpNet。若是 Internet 本地连接,请将连接重新命名为 Internet,如下图所示。
|
|
4. |
设置 CorpNet 连接的 TCP/IP 协议,其中 IP 地址为:172.16.0.4,子网掩码为:255.255.255.0,DNS 服务器的 IP 地址为:172.16.0.1。 |
|
5. |
设置 Internet 连接的 TCP/IP 协议,其中 IP 地址为:10.0.0.2,子网掩码则为:255.255.255.0。 |
|
6. |
从“系统管理工具”文件夹运行“路由及远程访问”插件。 |
|
7. |
在控制台树中,右击VPN1,再单击配置并启用路由及远程访问。 |
|
8. |
在欢迎使用路由及远程访问服务器安装向导页面上,单击下一步。 |
|
9. |
在配置页面中,默认选定远程访问(拨号或 VPN),如下图所示。
|
|
10. |
单击下一步。在远程访问页面上,选择VPN,如下图所示。
|
|
11. |
单击下一步,在VPN 连接页面的网络接口中,单击Internet 接口,如下图所示。
|
|
12. |
单击下一步,在IP 地址分配页面上,默认选定 自动分配,如下图所示。
|
|
13. |
单击下一步,在管理多台远程访问服务器页面上,单击是,设置这台服务器与 RADIUS 服务器一起工作,如下图所示。
|
|
14. |
单击下一步,在RADIUS 服务器选择页面上,于 主 RADIUS 服务器处输入 172.16.0.2,并于公共密码处输入公共密码,如下图所示。
|
|
15. |
单击下一步,在完成路由及远程访问服务器安装向导页面上,单击完成。 |
|
16. |
将弹出一则信息,提示您需要设置 DHCP 中继代理,如下图所示。
|
|
17. |
单击确定。 |
|
18. |
在控制台树中,依次打开VPN1(本机)、IP 路由以及 DHCP 中继代理,右击DHCP 中继代理,再单击属性。 |
|
19. |
在 DHCP 中继代理属性对话框中,于服务器地址处输入 172.16.0.1,如下图所示。
|
|
20. |
单击添加,再单击确定。 |
CLIENT1
CLIENT1 是一部运行 Windows XP Professional 的计算机,当作 VPN 客户端运作,可在模拟的 Internet 上取得内部网络资源的远程访问权限。若要将 CLIENT1 设置为 PPTP 连接的 VPN 客户端,请执行下列步骤:
|
1. |
将 CLIENT1 连接到内部网网段。 |
|
2. |
在 CLIENT1 上安装 Windows XP Professional,作为 example.com 网域中一台名为 CLIENT1 的成员计算机。 |
|
3. |
将 example.com 网域中的 VPNUser 帐户加入本地管理员组中。 |
|
4. |
先注销,然后以 example.com 网域中的 VPNUser 帐户身份登录。 |
|
5. |
通过“控制面板”的“网络连接”,获取局域网连接的属性,再获取Internet 协议(TCP/IP)的属性。 |
|
6. |
单击替代配置选项卡,再单击用户设置。 |
|
7. |
在IP 地址中输入 10.0.0.1,在子网掩码中输入255.255.255.0.,如下图所示。
|
|
8. |
单击确定,保存对 Internet 协议(TCP/IP)所做的更改。单击确定,保存对局域网连接所做的更改。 |
|
9. |
关闭 CLIENT1 计算机。 |
|
10. |
中断 CLIENT1 计算机与内部网网段的连接,然后将其连接到模拟的 Internet 网段。 |
|
11. |
重新启动 CLIENT1 计算机,然后使用 VPNUser 帐户登录。 |
|
12. |
在 CLIENT1 上,从“控制面板”打开“网络连接”文件夹。 |
|
13. |
在网络任务中,单击创建新的连接。 |
|
14. |
在“新建连接向导”的欢迎使用新建连接向导页面上,单击下一步。 |
|
15. |
在网络连接类型页面上,单击连接到我的工作区所在的网络,如下图所示。
|
|
16. |
单击下一步,在网络连接页面上,单击虚拟专用网络连接,如下图所示。
|
|
17. |
单击下一步,在连接名称页面上,于公司名称处输入PPTPtoCorpnet,如下图所示。
|
|
18. |
单击下一步,在VPN 服务器选择页面上,于主机名称或 IP 地址处输入 10.0.0.2,如下图所示。
|
|
19. |
单击下一步,在连接可用性页面上,单击下一步。 |
|
20. |
在完成新建连接向导页面上,单击完成,将弹出连接 PPTPtoCorpnet 对话框,如下图所示。
|
|
21. |
单击属性,再单击联网选项卡。 |
|
22. |
在联网选项卡上,于VPN 的类型处,单击PPTP VPN,如下图所示。
|
|
23. |
单击确定,保存对 PPTPtoCorpnet连接所做的更改,将弹出连接 PPTPtoCorpnet对话框。 |
|
24. |
在用户名中输入 example/VPNUser,在密码中输入您选择用于 VPNUser 帐户的密码,如下图所示。
|
|
25. |
单击连接。 |
|
26. |
连接完成时,请运行 Internet Explorer。 |
|
27. |
若出现“Internet连接向导”提示,请设置其使用 LAN 连接。在地址中,输入 http://IIS1.example.com/winxp.gif,您应该会看到一张 Windows XP 图片。 |
|
28. |
依次单击开始和运行,输入 \\IIS1\ROOT之后,再单击确定,您应该会在 IIS1 上看到本地驱动器(C:)中的内容。 |
|
29. |
右击PPTPtoCorpnet 连接,再单击中断连接。 |
L2TP/IPSec 远程访问 VPN 连接
L2TP/IPSec 远程访问 VPN 连接必须要用有 VPN 客户端与 VPN 服务器上的计算机证书。一般而言,对安全性的要求较严格并使用公钥基础结构(PKI)分发 VPN 客户端与服务器的计算机证书时,就会使用 L2TP/IPSec。
DC1
若要设置 DC1 来自动注册计算机证书,请执行下列步骤。
|
1. |
打开“Active Directory 用户和计算机”插件。 |
|
2. |
在控制台树中,双击Active Directory 用户和计算机,右击 example.com 网域,再单击属性。 |
|
3. |
在组策略选项卡上,单击默认组策略,再单击编辑。 |
|
4. |
在控制台树中,依序打开计算机配置、Windows 设置、安全性设置、公钥策略及自动证书请求设置,如下图所示。
|
|
5. |
右击自动证书请求设置,指向新建,再单击自动证书请求。 |
|
6. |
在欢迎使用自动证书请求设置向导页面上,单击下一步。 |
|
7. |
在证书模板页面上,单击计算机,如下图所示。
|
|
8. |
单击下一步,在完成自动证书请求设置向导页面上,单击完成。计算机证书类型即会出现在“群组策略对象编辑器”插件的详细信息窗格中,如下图所示。
|
|
9. |
按照命令提示,输入gpupdate,更新 DC1 上的组策略。 |
VPN1
若要立即更新组策略并请求计算机证书,请按命令提示键入gpupdate。
CLIENT1
若要取得 CLIENT1 上的计算机证书并设置 L2TP/IPSec 远程访问 VPN 连接,请执行下列步骤:
|
1. |
关闭 CLIENT1 计算机。 |
|
2. |
中断 CLIENT1 计算机与模拟 Internet 网段的连接,然后将其连接到内部网网段。 |
|
3. |
重新启动 CLIENT1 计算机,然后使用 VPNUser 帐户登录,计算机与用户组策略将自动更新。 |
|
4. |
关闭 CLIENT1 计算机。 |
|
5. |
中断 CLIENT1 计算机与内部网网段的连接,然后将它连接到模拟的 Internet 网段。 |
|
6. |
重新启动 CLIENT1 计算机,然后使用 VPNUser 帐户登录。 |
|
7. |
在 CLIENT1 上,从“控制面板”打开“网络连接”文件夹。 |
|
8. |
在网络任务中,单击创建新连接。 |
|
9. |
在“新建连接向导”的欢迎使用新建连接向导页面上,单击下一步。 |
|
10. |
在网络连接类型页面上,单击连接到我的工作区所在的网络,如下图所示。
|
|
11. |
单击下一步,在网络连接页面上,单击虚拟专用网络连接,如下图所示。
|
|
12. |
单击下一步,在连接名称页面上,于公司名称中输入 L2TPtoCorpnet,如下图所示。
|
|
13. |
单击下一步,在VPN 服务器选择页面上,于主机名称或 IP 地址处输入 10.0.0.2,如下图所示。
|
|
14. |
单击下一步,在公共网络页面上,单击不拨入最初的连接,如下图所示。
|
|
15. |
单击下一步,在连接可用性页面上,单击下一步。 |
|
16. |
在完成新建连接向导页面上,单击完成,将显示连接到 L2TPtoCorpnet对话框,如下图所示。
|
|
17. |
单击属性,再单击联网 选项卡。 |
|
18. |
在联网选项卡上,于VPN 的类型中单击L2TP IPSec VPN,如下图所示。
|
|
19. |
单击确定,保存对L2TPtoCorpnet 连接所做的更改,将显示连接到 L2TPtoCorpnet对话框。 |
|
20. |
在用户名中输入example/VPNUser,在 密码中输入您选择用于 VPNUser 帐户的密码,如下图所示。
|
|
21. |
单击连接。 |
|
22. |
连接完成时,请运行 Web 浏览器。 |
|
23. |
在地址中,输入 http://IIS1.example.com/winxp.gif。您应该会看到一张 Windows XP 图片。 |
|
24. |
单击开始与运行,输入 \\IIS1\ROOT 之后,再单击确定。您应该会在 IIS1 上看到本地驱动器(C:)中的内容。 |
|
25. |
右击L2TPtoCorpnet 连接,再单击中断连接。 |
EAP-TLS 远程访问 VPN 连接
EAP-TLS 远程访问 VPN 连接必须要有 VPN 客户端的用户证书与 IAS 服务器的计算机证书。若您要以最安全的用户层身份验证协议来验证 VPN 连接,则应使用 EAP-TLS。下列步骤中使用本地安装的用户证书,是为了让测试实验室中的配置操作更加容易。在生产环境中,我们建议您使用智能卡来执行 EAP-TLS 身份验证,而不要使用本地安装的用户证书。
DC1
若要设置 DC1 来自动注册用户证书,请执行下列步骤:
|
1. |
单击开始与运行,输入 mmc 之后,再单击确定。 |
|
2. |
在文件菜单中,单击添加/删除插件,再单击新建。 |
|
3. |
在插件下,双击证书模板,单击关闭,再单击确定。 |
|
4. |
在控制台树中,单击证书模板,将在详细信息窗格中显示所有证书模板,如下图所示。
|
|
5. |
在详细信息窗格中,单击用户模板。 |
|
6. |
在操作菜单中,单击重复的模板。 |
|
7. |
在显示名称一栏中,输入 VPNUser。 |
|
8. |
确认已选定在 Active Directory 中颁发证书复选框,如下图所示。
|
|
9. |
单击安全选项卡。 |
|
10. |
在组或用户名称一栏中,单击域用户。 |
|
11. |
在域用户权限列表中,选定注册与自动注册权限复选框,如下图所示。
|
|
12. |
单击确定。 |
|
13. |
打开“认证中心”插件。 |
|
14. |
在控制台树中,依次打开认证中心、Example CA和证书模板,如下图所示。
|
|
15. |
在操作菜单上,指向新建,然后单击所要版发的证书。 |
|
16. |
单击VPNUser,如下图所示。
|
|
17. |
单击确定。 |
|
18. |
打开“Active Directory 用户和计算机”插件。 |
|
19. |
在控制台树中,双击Active Directory 用户和计算机,右击 example.com 网域,再单击属性。 |
|
20. |
在组策略选项卡上,单击默认组策略,再单击编辑。 |
|
21. |
在控制台树中,依序打开用户配置、Windows 设置、安全设置以及公钥策略,如下图所示。
|
|
22. |
在详细信息窗格中,双击自动注册设置。 |
|
23. |
单击自动注册证书,选定延长过期的证书,更新未决证书并删除已撤销的证书复选框,并选定更新使用证书模板的证书复选框,如下图所示。
|
|
24. |
单击确定。 |
IAS1
若要对 IAS1 配置计算机认证与 EAP-TLS 身份验证,请执行下列步骤:
|
1. |
若要确定 IAS1 已自动注册计算机证书,请按命令提示键入 gpupdate。 |
|
2. |
打开“Internet 身份验证服务”插件。 |
|
3. |
在控制台树中,单击远程访问策略。 |
|
4. |
在详细信息窗格中,双击针对企业内部网的 VPN 远程访问,将弹出针对企业内部网的 VPN 远程访问属性对话框,如下图所示。
|
|
5. |
单击编辑配置文件,再单击身份验证选项卡,如下图所示。
|
|
6. |
在身份验证选项卡上,单击EAP 方法,将弹出选择 EAP 提供商对话框,如下图所示。
|
|
7. |
单击添加,将弹出添加 EAP 对话框,如下图所示。
|
|
8. |
单击智能卡或其他证书,再单击确定。 |
|
9. |
单击编辑,将弹出智能卡或其他凭证内容对话框,如下图所示。
|
|
10. |
将显示对 IAS1 计算机发出的计算机证书的属性。此步骤可确认 IAS 是否已安装可被接受的计算机证书,以供执行 EAP-TLS 身份验证时使用。单击确定。 |
|
11. |
单击确定,保存对 EAP 提供商所做的更改。单击确定,保存对配置文件所做的更改。 |
|
12. |
当提示查看帮助主题时,请单击否。单击确定,保存对远程访问策略所做的更改。 |
这些配置变更,将使针对企业内部网的 VPN 远程访问远程访问策略可通过 EAP-TLS 验证方法,授权 VPN 连接。
CLIENT1
若要取得 CLIENT1 的用户证书并设置 EAP-TLS 远程访问的 VPN 连接,请执行下列步骤
|
1. |
关闭 CLIENT1 计算机。 |
|
2. |
中断 CLIENT1 计算机与模拟 Internet 网段的连接,然后将其连接到内部网网段。 |
|
3. |
重新启动 CLIENT1 计算机,然后使用 VPNUser 帐户登录。计算机与用户组策略将自动更新。 |
|
4. |
关闭 CLIENT1 计算机。 |
|
5. |
中断 CLIENT1 计算机与内部网网段的连接,然后将其连接到模拟 Internet 网段 |
|
6. |
重新启动 CLIENT1 计算机,然后使用 VPNUser 帐户登录。 |
|
7. |
在 CLIENT1 上,从“控制面板”打开“网络连接”文件夹。 |
|
8. |
在网络任务中,单击创建新连接。 |
|
9. |
在新建连接向导的欢迎使用新建连接向导页面上,单击下一步。 |
|
10. |
在网络连接类型页面上,单击连接到我的工作区所在的网络。 |
|
11. |
单击下一步。在网络连接页面上,单击虚拟专用网络连接。 |
|
12. |
单击下一步。在连接名称页面上,于公司名称处输入 EAPTLStoCorpnet。 |
|
13. |
单击下一步。在选取 VPN 服务器页面上,于主机名称或 IP 地址处输入 10.0.0.2。 |
|
14. |
单击下一步。在公共网络页面上,单击不拨入最初的连接。 |
|
15. |
单击下一步。在连接可用性页面上,单击下一步。 |
|
16. |
在完成新建连接向导页面上,单击完成,将弹出连接到 EAPTLStoCorpnet对话框,如下图所示。
|
|
17. |
单击属性,再单击安全性选项卡。 |
|
18. |
在安全性选项卡上单击高级,再单击设置,将弹出高级安全性设置对话框。 |
|
19. |
在高级安全性设置对话框中,单击使用可扩展的身份验证协议(EAP),如下图所示。
|
|
20. |
单击属性。在智能卡或其他证书属性对话框中,单击使用这台计算机上的证书,如下图所示。
|
|
21. |
单击确定,保存对智能卡或其他证书 EAP 类型所做的更改。单击确定,保存对“高级安全性设置”所做的更改。单击确定,保存对“安全性”选项卡所做的更改,随即使用已安装的用户证书建立连接。 |
|
22. |
连接完成时,运行 Web 浏览器。 |
|
23. |
在地址中,输入 http://IIS1.example.com/winxp.gif。您应该会看到一张 Windows XP 图片。 |
|
24. |
单击开始与运行,输入 \\IIS1\ROOT 之后,再单击确定。您应该会在 IIS1 上看到本地驱动器(C:)中的内容。 |
|
25. |
右击EAPTLStoCorpnet 连接,再单击中断连接。 |
|
本类阅读TOP10
