Poradnik krok po kroku: Instalowanie i konfiguracja SSTP, cz. I     Windows Server 2008

Poradnik krok po kroku: Instalowanie i konfiguracja SSTP, cz. II Udostępnij na: Facebook

Opublikowano: 8 lipca 2008

Zawartość strony
 Konfigurowanie komputera CLIENT1   Konfigurowanie komputera CLIENT1
 Symulowanie awarii połączenia opartego na PPTP   Symulowanie awarii połączenia opartego na PPTP
 Konfigurowanie połączenia opartego na protokole SSTP   Konfigurowanie połączenia opartego na protokole SSTP
 Źródła dodatkowe   Źródła dodatkowe

Konfigurowanie komputera CLIENT1

CLIENT1 jest komputerem działającym pod kontrolą systemu Windows Vista z pakietem SP1, który jest klientem VPN dostępu zdalnego dla domeny Contoso.com.

Konfiguracja komputera CLIENT1 obejmuje następujące operacje:

  •  Zainstalowanie systemu operacyjnego.

  •  Skonfigurowanie protokołu TCP/IP.

W kolejnych podrozdziałach operacje te zostały szczegółowo wyjaśnione.

Zainstalowanie systemu operacyjnego

W celu zainstalowania systemu Windows Vista z pakietem SP1 na komputerze CLIENT1:

Windows Vista SP1

  1. Na komputerze CLIENT1, uruchom komputer przy użyciu dysku CD systemu Windows Vista (z pakietem SP1). Postępuj zgodnie z instrukcjami wyświetlanymi na ekranie.

  2. W monicie dotyczącym typu instalacji wybierz opcję Custom.

  3. W monicie dotyczącym nazwy użytkownika wpisz user1.

  4. W monicie dotyczącym nazwy komputera wpisz CLIENT1.

  5. W monicie dotyczącym lokalizacji komputera wpisz Home.

Skonfigurowanie protokołu TCP/IP

Należy skonfigurować właściwości protokołu TCP/IP tak, aby do komputera CLIENT1 przypisany był statyczny adres IP 131.107.0.3 dla połączenia publicznego (Internet).

Skonfigurowanie właściwości TCP/IP

  1. Na komputerze CLIENT1, kliknij kolejno menu Start i Control Panel.

  2. Kliknij grupę programów Network and Internet, kliknij program Network and Sharing Center, a następnie kliknij odnośnik Manage network connections.

  3. Kliknij prawym przyciskiem myszy połączenie lokalne – Local Area Connection , a następnie kliknij polecenie Properties. Jeśli wyświetlone zostaje okno dialogowe z żądaniem uprawnień do kontynuowania tej operacji, kliknij przycisk Continue.

  4. W oknie dialogowym Local Area Connection Properties kliknij pozycję Internet Protocol Version 4 (TCP/IPv4), a następnie kliknij przycisk Properties.

  5. Kliknij opcję Use the following IP address. W polu IP address wpisz 131.107.0.3, a w polu dotyczącym maski podsieci wpisz 255.255.0.0.

  6. Kliknij przycisk OK, a następnie kliknij przycisk Close.

Należy skonfigurować plik hosts tak, aby zawierał rekord dotyczący komputera VPN1. Zapis taki symuluje konfigurację rzeczywistą, w której korporacyjny serwer VPN ma publicznie rozpoznawalną nazwę hosta.

Skonfigurowanie pliku hosts

  1. Na komputerze CLIENT1, kliknij kolejno menu Start, All Programs, Accessories, prawym przyciskiem myszy kliknij program Command Prompt, a następnie kliknij polecenie Run as administrator.

  2. W oknie dialogowym User Account Control kliknij przycisk Continue.

  3. W oknie poleceń wpisz poniższy tekst, a następnie naciśnij ENTER:

notepad %windir%\system32\drivers\etc\hosts

  4. Dodaj poniższy zapis w nowym wierszu na końcu dokumentu:

131.107.0.2 vpn1.contoso.com

  5. Zapisz i zamknij plik hosts.

W celu potwierdzenia działania komunikacji pomiędzy komputerami CLIENT1 i VPN1 należy uruchomić polecenie ping z komputera CLIENT1.

Użycie polecenia ping do sprawdzenia połączeń sieci

  1. Na komputerze VPN1, kliknij kolejno menu Start, Administrative Tools, a następnie kliknij program Windows Firewall with Advanced Security.

  2. W drzewie konsoli kliknijwęzełInbound Rules.

Rysunek 13: Przystawka Windows Firewall with Advanced Security.

  3. W oknie informacji szczegółowych przewiń w dół i dla profilu Public dwukrotnie kliknij pozycję File and Printer Sharing (Echo Request - ICMPv4-In). Sprawdź, czy reguła ta jest włączona.

Rysunek 14: Okno dialogowe File and Printer Sharing (Echo Request - ICMPv4-In) Properties.

  4. Na zakładce General, zaznacz pole wyboru Enabled, a następnie kliknij przycisk OK.

  5. Na komputerze CLIENT1, w oknie poleceń wpisz ping vpn1.contoso.com, a następnie naciśnij ENTER.

  6. Sprawdź, czy działa połączenie z komputerem VPN1.

Dla celów tego testu, połączenie to oznacza, że użytkownik zdalny może połączyć się z serwerem VPN w biurze poprzez publiczną sieć Internet.

  7. Zamknij okno wiersza poleceń.

 Do początku strony Do początku strony

Symulowanie awarii połączenia opartego na PPTP

Po wykonaniu instrukcji poprzednich procedur utworzona została infrastruktura testowa. W niniejszym podrozdziale opisano, w jaki sposób skonfigurować sieć testową, by nie były nawiązywane połączenia VPN oparte na PPTP. Konfiguracja taka symuluje rzeczywistą sytuację, w której serwer dostępu zdalnego znajduje się poza zaporą blokującą połączenia PPTP. W teście na komputerze VPN1 program Windows Firewall with Advanced Security użyty zostanie jako zapora obwodowa.

Konfigurowanie połączenia VPN opartego na PPTP

Należy utworzyć połączenie PPTP.

Konfigurowanie połączenia VPN opartego na PPTP

  1. Na komputerze CLIENT1 kliknij kolejno menu Start i Control Panel.

  2. Kliknij grupę programów Network and Internet, kliknij program Network and Sharing Center, a następnie kliknij odnośnik Set up a connection or network .

Rysunek 15: Okno dialogowe Set up a connection or network.

  3. Kliknij odnośnik Connect to a workplace, a następnie kliknij przycisk Next.

  4. Kliknij opcję Use my Internet connection (VPN).

  5. Kliknij opcję I'll set up an Internet connection later .

  6. W polu Internet address wpisz vpn1.contoso.com, a następnie kliknij przycisk Next.

**  Uwaga**

W polu Internet address musi znajdować się ta sama nazwa, co nazwa podmiotu skonfigurowana poprzednio w tym dokumencie. Wymaganie to dotyczy połączenia SSTP używanego w dalszej części dokumentu.

  7. W oknie dialogowym Type your user name and password wpisz następujące informacje:

a. W polu User name wpisz user1.

b. W polu Password wpisz P@ssword.

c. Kliknij opcję Remember this password.

d. W polu Domain wpisz contoso.

  8. Kliknij przycisk Create, a następnie kliknij przycisk Close.

Testowanie połączenia opartego na protokole PPTP

Należy przetestować połączenie PPTP. Celem jest nawiązanie połączenia z komputerem VPN1 przy użyciu połączenia VPN opartego na PPTP utworzonego na komputerze CLIENT1.

Testowanie połączenia opartego na protokole PPTP

  1. Na komputerze CLIENT1, w programie Network and Sharing Center kliknij odnośnik Manage network connections.

  2. Dwukrotnie kliknij połączenie VPN Connection, a następnie kliknij przycisk Connect.

Rysunek 16: Okno dialogowe VPN Connection.

  3. Sprawdź, czy połączenie zostało prawidłowo nawiązane, klikając prawym przyciskiem myszy połączenie VPN Connection, a następnie klikając polecenie Status. Parametr Media State powinien mieć wartość „Connected".

  4. W oknie dialogowym VPN Connection Status kliknij przycisk Disconnect.

Konfigurowanie programu Windows Firewall with Advanced Security

Ruch protokołu PPTP obejmuje ruch poprzez port 1723 protokołu TCP dla obsługi tunelowania i ruch poprzez IP protokołu 47 (GRE; Generic Routing Encapsulation) dla obsługi tunelowania danych. Należy skonfigurować program Windows Firewall with Advanced Security tak, aby zapora blokowała przychodzący ruch GRE do komputera VPN1. Konfiguracja symuluje serwer dostępu zdalnego znajdujący się poza zaporą, która blokuje połączenia PPTP.

Skonfigurowanie programu Windows Firewall with Advanced Security tak, aby blokowane były połączenia oparte na protokole PPTP

  1. Na komputerze VPN1, kliknij kolejno menu Start, Administrative Tools, a następnie kliknij program Windows Firewall with Advanced Security.

  2. W drzewie konsoli kliknij węzeł Inbound Rules.

  3. W oknie informacji szczegółowych przewiń w dół i dwukrotnie kliknij pozycję Routing and Remote Access (GRE-In).

  4. W ramce Action wybierz opcję Block the connections , a następnie kliknij przycisk OK.

Rysunek 17: Okno dialogowe Routing and Remote Access (GRE-In) Properties.

Testowanie połączenia opartego na protokole PPTP

Należy sprawdzić, czy teraz zablokowane jest połączenie oparte na PPTP do komputera VPN1.

Test połączenia PPTP

  1. Na komputerze On CLIENT1, w programie Network and Sharing Center kliknij odnośnik Manage network connections.

  2. Dwukrotnie kliknij połączenie VPN Connection, a następnie kliknij przycisk Connect.

  3. Sprawdź, czy połączenie zostało nawiązane. Powinno być wyświetlone okno dialogowe podobne do pokazanego poniżej:

Rysunek 18: Połączenie oparte na protokole PPTP nie zostało nawiązane.

  4. Kliknij przycisk Close.

 Do początku strony Do początku strony

Konfigurowanie połączenia opartego na protokole SSTP

Klient VPN korzystający z połączenia SSTP musi zainstalować certyfikat głównego CA (urząd certyfikacji) certyfikatu komputera serwera VPN. Podczas fazy uwierzytelniania protokołu SSL, klient VPN sprawdza certyfikat Server Authentication przy użyciu certyfikatu zainstalowanego w systemie klienckim.

Uzyskanie zaufanego głównego certyfikatu CA

Główny certyfikat można uzyskać przy użyciu automatycznej rejestracji, jeśli klient jest dołączony do domeny usługi Active Directory lub poprzez rejestrację w sieci Web z witryny CA wydającej certyfikaty. W tej konfiguracji komputer CLIENT1 będzie uzyskiwał główny certyfikat CA z komputera VPN1 przy użyciu rejestracji w sieci Web.

Uzyskanie certyfikatu komputera z komputera VPN1

  1. Na komputerze CLIENT1, kliknij menu Start, a następnie kliknij program Internet Explorer.

  2. W programie Internet Explorer, usuń adres URL i wpisz http://vpn1.contoso.com/certsrv, a następnie naciśnij ENTER.

  3. Jeśli wyświetlone zostanie ostrzeżenie filtru witryn wyłudzających informacje, kliknij opcję Turn off automatic Phishing Filter, a następnie kliknij przycisk OK.

  4. Na stronie powitalnej, w ramce Select a task kliknij polecenie Download a CA certificate, certificate chain, or CRL .

  5. Jeśli odebrane zostanie ostrzeżenie dotyczące paska informacji (Information Bar), kliknij przycisk Close.

  6. Kliknij przycisk Download CA certificate.

  7. W oknie dialogowym File Download kliknij przycisk Open.

Rysunek 19. Okno dialogowe File Download dotyczące certyfikatu zabezpieczeń.

Rysunek 19: Okno dialogowe File Download dotyczące certyfikatu zabezpieczeń.

  8. W oknie dialogowym ostrzeżenia dotyczącego zabezpieczeń kliknij przycisk Allow.

  9. Kliknij przycisk Install Certificate.

Rysunek 20: Okno dialogowe Certificate.

  10. W programie Certificate Import Wizard kliknij przycisk Next.

  11. W oknie dialogowym Certificate Store kliknij przycisk Next, aby zaakceptowaćdomyślnąautomatyczną lokalizację magazynu.

  12. Kliknij przycisk Finish.

  13. W oknie dialogowym potwierdzenia kliknij przycisk OK.

  14. Kliknij przycisk OK, aby zamknąć okno dialogowe Certificate.

Teraz, zainstalowany certyfikat komputera musi zostać przeniesiony do prawidłowego magazynu. Domyślna lokalizacja automatyczna instalowanych certyfikatów znajduje się w magazynie Current User, Intermediate Certification Authority. Certyfikat musi zostać przeniesiony do magazynu Local Computer, Trusted Root Certification Authority, który znajduje się na komputerze CLIENT1. Proces należy rozpocząć od skonfigurowania w konsoli MMC przystawek dotyczących certyfikatów użytkownika i komputera.

Skonfigurowanie konsoli MMC

  1. Na komputerze CLIENT1, kliknij kolejno menu Start, All Programs, Accessories, a następnie kliknij polecenie Run.

  2. W polu Open wpisz mmc, a następnie kliknij przycisk OK.

  3. W oknie dialogowym User Account Control kliknij przycisk Continue.

  4. W przystawce Console1 kliknij menu File, a następnie kliknij polecenie Add/Remove Snap-in.

  5. W ramce Available snap-ins kliknij przystawkę Certificates, a następnie kliknij przycisk Add.

  6. Kliknij przycisk Finish, aby zaakceptować ustawienie domyślne: My user account.

  7. Kliknij przycisk Add, kliknij opcję Computer account , a następnie kliknij przycisk Next.

  8. W oknie dialogowym Select Computer kliknij przycisk Finish, aby zaakceptować ustawienie domyślne: Local computer .

  9. Kliknij przycisk OK, aby zamknąć okno dialogowe Add or Remove Snap-ins.

Należy przenieść zainstalowany certyfikat z magazynu w domyślnej lokalizacji. Ponieważ certyfikat nie wymaga powiązania z kluczem prywatnym, można go po prostu skopiować i powielić w nowym magazynie certyfikatów.

Przeniesienie certyfikatu

  1. Na komputerze CLIENT1, w nowo utworzonej konsoli MMC, w oknie drzewa konsoli dwukrotnie kliknij węzeł Certificates - Current User, dwukrotnie kliknij Intermediate Certification Authorities, a następnie kliknij folder Certificates.

  2. W środkowym oknie kliknij prawym przyciskiem myszy certyfikat contoso-VPN1-CA, a następnie kliknij przycisk Copy.

  3. W oknie drzewa konsoli dwukrotnie kliknij węzeł Certificates (Local Computer) , dwukrotnie kliknij folder Trusted Root Certification Authorities , a następnie kliknij Certificates.

  4. W środkowym oknie kliknij prawym przyciskiem myszy, a następnie kliknij polecenie Paste.

  5. Odśwież widok, aby sprawdzić, czy certyfikat został dodany do tego magazynu.

Rysunek 21: Nowa lokalizacja pobranego certyfikatu.

Konfigurowanie i testowanie połączenia bazującego na SSTP

Po umieszczeniu certyfikatu głównego CA – wystawcy certyfikatu komputera serwera VPN – w magazynie certyfikatów Trusted Root Certification Authorities na komputerze CLIENT1 należy skonfigurować i przetestować połączenie SSTP.

Konfigurowanie i testowanie połączenia SSTP

  1. Na komputerze CLIENT1, w programie Network and Sharing Center kliknij odnośnik Manage network connections.

  2. Dwukrotnie kliknij połączenie VPN Connection, a następnie kliknij przycisk Properties.

  3. Kliknij zakładkę Networking.

  4. Z listy rozwijanej Type of VPNwybierz opcję Secure Socket Tunneling Protocol (SSTP), a następnie kliknij przycisk OK.

Rysunek 22: Okno dialogowe VPN Connection Properties.

  5. W oknie dialogowym Connect VPN Connection kliknij przycisk Connect.

Komputer CLIENT1 powinien połączyć się z komputerem VPN1 przy użyciu połączenia SSTP. Należy sprawdzić, czy z lokalizacji zdalnej możliwy jest dostęp do serwera plików przedsiębiorstwa.

  6. Kliknij kolejno menu Start, All Programs, Accessories, a następnie kliknij polecenie Run.

  7. W polu Open wpisz \\dc1.contoso.com\corpdata, a następnie kliknij przycisk OK.

  8. Dwukrotnie kliknij plik VPNTest, aby go otworzyć, dodaj dowolny tekst, a następnie zapisz plik.

  9. Zamknij plik VPNTest.

 Do początku strony Do początku strony

Źródła dodatkowe

  •  Screencast: Deploying SSTP Remote Access (https://go.microsoft.com/fwlink/?LinkId=102605)

  •  Routing and Remote Access Blog (https://go.microsoft.com/fwlink/?LinkId=82954)

 

 Do początku strony Do początku strony

Poradnik krok po kroku: Instalowanie i konfiguracja SSTP, cz. I     Windows Server 2008