如何在ISA2006上启用VPN功能和实现IAS验证服务(二)

如何在ISA2006上启用VPN功能和实现IAS验证服务(二)

  其次我们再把实验加深一步，在DC上安装IAS验证服务，插入2003光盘，选择安装Windows组件中的网路服务中的IAS验证服务，安装完毕即可，这样DC变成了一台Radius服务器，其实跟Cisco里面的3A服务验证一样，实现授权、记账、验证身份的作用。好了，现在打开IAS服务管理控制台，点击新建Radius客户端，其实就是添加ISA2006的内网卡地址，而且还需要设置一个两边协商的密钥值。因为现在DC是IAS服务器，那么它负责管理VPN服务器，ISA2006充当VPN服务器，那自然就是IAS服务器的客户端了，这点有点绕，不过还是可以理解的。然后新建远程访问策略，我们这次来限制一下用户的拨入权限，策略里面规定只有技术组的成员才允许拨入进来，策略很好创建，选择组的时候就把技术组添加进来即可，然后下一步完成策略。策略设置完成了，还需要在用户拨入属性去修改一下，启用策略服务。但是发现用户的选项卡是灰色不可选，因为要提升域功能级别才可以激活的，所以先提升域功能级别至少是Windows2000本机模式，好了，现在在DC上创建全局安全组技术组，然后创建新用户u2加入到该组当中，查看u2用户是否为利用策略规则，现在可以选择了，激活完毕。然后回到ISA2006上继续配置，点击指定Radius配置，把使用Radius进行身份验证勾选上，然后点击Radius服务器选项，在里面输入IAS服务器的IP地址和一致的密钥值即可。最后一步很重要，一定要打开监视功能里面的服务选项卡，把远程服务一定要重启，否则设置不生效，然后在客户端访问测试，u2允许拨入成功，而之前创建的u1则是报无权限拨入。
  最后我们来讲一下基于L2TP协议的VPN模式，因为之前的都是基于PPTP协议的，前者加密方式更加安全，所以为了保证更高的安全性，我们需要配置一下，来进一步加强我们内网的安全可靠性。首选我们在DC上安装企业根CA，注意要同时选上安装IIS服务，因为会安装虚拟目录Certsrv，否则是不会创建的，我们现在ISA上申请证书，因为ISA是防火墙，所以先创建一次访问规则是从本地主机网络到内部网络允许HTTP协议访问的所有用户规则，然后打开IE输入http://www.htbenet.net，进入CA网站，注意用户名写法为：sohu\administrator，因为企业根CA只允许域管理员组成员访问，然后申请高级证书，模板选择系统管理员，标记私钥可导出，然后点击确定即可，然后需要安装CA证书链文件，具备了信任关系，然后下载CA证书链文件到桌面，在IE上将含有私钥的证书文件导出来，设置导入密码，然后存储在桌面上即可，把证书链和含有私钥的证书文件利用MMC管理控制台统一导入到ISA主机的计算机缓存区中，这样证书就生效了，千万别忘了重启ISA上的远程访问服务生效。然后该VPN客户端设置了，先用普通的PPTP协议拨入进去，获得内网私有IP，然后在IE上也是同样的方法申请证书，然后执行信任CA证书链文件，也是导出私钥证书，下载CA证书链文件，将证书导入到VPN客户端的计算机缓存区中，这样证书也生效了。最后在拨号网络属性中，选择网络，然后找到L2TPIPSec VPN选项即可，重新拨号验证，最后属性信息里面显示的就是基于L2TP协议的VPN了，更加安全了，虽然配置麻烦了一点，但是安全可靠性得到了保证，大家也来实验一次吧，今天的课程就到这，期待下次相聚！（完）
 

北大青鸟马甸学校供稿