使用 SSTP配置远程客户端访问

译者：田敏日期：2010-04-23

使用 Forefront 统一接入网关 （UAG），您通过 SSL 隧道网络的应用程序发布提供远程客户端对内部公司网络的 VPN 访问。 在 SSL 隧道网络应用程序发布之前,你必须设置 VPN 客户端网络，可以使用安全套接字隧道协议 (SSTP)，也可以旧式专有 Forefront UAG 网络连接器。

本主题介绍了使用 SSTP配置远程客户端访问所需的步骤，如下所示：

1. 启用 SSL网络 隧道 ─按这个步骤在内部网络中允许远程客户端访问所有路由和子网的 VPN 。
2. 指定的 VPN 客户端最大连接数  ─限制远程可以同时连接到使用 SSL 隧道网络的 Forefront UAG 的VPN 客户端数。 
3. 发布 SSL 网络隧道 ─在用 SSL网络遂道 配置 Forefront UAG使用远程 VPN 网络后，您可通过 Forefront 统一接入网关 （UAG） 主干发布它使 VPN 连接对客户端可用。 
4. 选择 VPN 协议 ─选择的远程客户端 VPN 连接协议
5. 对VPN 客户端分配 IP 地址 ─分配远程 VPN 客户机的 IP 地址。 您可以为此静态创建的 IP 地址池，并将它们分配给远程的 VPN 客户端连接，或者您可以给远程 VPN 客户端使用 DHCP 动态分配的 IP 地址。 注意在多服务器阵列配置中部署 Forefront UAG 服务器时您无法使用 DHCP。 

默认情况下，所有用户都可以通过内部网络访问到 SSTP 。 要 阻止用户通过SSTP访问内部网络或特定服务，查看配置TMG来阻止用户通过SSTP访问。

启用 SSL 网络隧道

1. 在 Forefront UAG 管理控制台的 管理 菜单上单击 远程网络访问，然后再单击 SSL 网络隧道 (SSTP)
2. SSL 隧道配置 对话框上选择 启用远程客户端 VPN访问

指定的 VPN 客户端最大连接数

要设置 VPN 客户端连接的最大限值

1. SSL 隧道配置 对话框的 常规 选项卡上 最大的 VPN 客户端连接 中指定的最大并发客户端连接限制

发布 SSL 网络隧道

1. SSL 隧道配置 对话框的 常规 选项卡上，选择将发布 SSL 隧道网络应用程序的主干。在选择了主干后，主干门户和 HTTPS 证书的公共主机名后将显示。

选择 VPN 协议

1. SSL 隧道配置 对话框的 协议 选项卡上选择了 SSTP 协议。 更多关于 SSTP的信息，查看微软TechNet上的 安全遂道协议  。下表对VPN协议进行了对比：

   重要

   当前不支持使用 PPTP 或 L2TP/IPSec 。

   属性	PPTP	L2TP/IPsec	SSTP
   封装	GRE	L2TP over UDP	SSTP over TCP
   加密	Microsoft 点到点加密 (MPPE) RC4	IPsec ESP with Triple Data Encryption Standard (3DES) 或 Advanced Encryption Standard (AES)	SSL RC 4 或 AES
   遂道维护协议	PPTP	L2TP	SSTP
   当用户认证发生时	在加密前	在 IPsec 会话建立之后	在 SSL 会话建立后
   建立VPN遂道时需要的证书	不需要	在 VPN 客户机和服务器上的计算机证书	VPN 服务器上的计算机证书和VPN客户机上的根 CA 证书

给 VPN 客户端分配IP 地址

1. SSL 隧道配置 对话框的 IP 地址分配 选项卡上，选择该分配方法，如下所示：

   • 静态分配的 IP 地址，选择 分配静态地址池中的地址，然后单击 添加 以指定 IP 地址范围

     提示

     确保您删除指定静态池中的 IP 地址范围为内部网络的地址范围。 两个地址范围中的地址不应该重复。

   • 自动分配 IP 地址，选择 使用 DHCP分配地址。 当多个 Forefront UAG 服务器组成一个阵列时，不支持 DHCP。 这种限制存在是因为 DHCP 地址分配到一个阵列拓扑时会有路由问题