啟用基本遠端用戶端存取

發佈時間: 2009年11月

更新日期: 2010年2月

適用於: Forefront Threat Management Gateway (TMG)

本主題說明如何為使用虛擬私人網路的遠端用戶端啟用基本存取。在完成下列的程序並確認有 VPN 連線後,建議您實作較高層級的安全性,如以增強的安全性設定遠端用戶端存取中所詳述。若要啟用基本的遠端用戶端存取,請完成下列程序:

在您開始之前,建議您建立 VPN 用戶端群組,如定義遠端 VPN 用戶端中的「建立遠端 VPN 用戶端的使用者與群組」程序所述。

指派 IP 位址給遠端 VPN 用戶端

  1. 在 [Forefront TMG 管理] 主控台樹狀目錄中,按一下 [遠端存取原則 (VPN)] 節點,然後在詳細資料窗格中,按一下 [VPN 用戶端] 索引標籤。

  2. 在詳細資料窗格中,按一下 [設定位址指派方法]

  3. [位址指派] 索引標籤上,選取下列任一選項:

    • 靜態位址集區:如果您要將靜態位址指派到遠端 VPN 用戶端。

    • 動態主機設定通訊協定 (DHCP):如果您要以動態方式將位址指派給遠端 VPN 用戶端。

      note附註:
      您可以設定 Forefront TMG 使用 DHCP 伺服器,以便為單一伺服器陣列的 VPN 遠端用戶端指派 IP 位址。當有多個陣列成員時,請使用靜態集區位址指派。

  4. 如果您選取 [靜態位址集區],請執行下列動作:

    1. 按一下 [新增]

    2. 在有多個陣列成員的陣列中,於 [選取伺服器] 中,選取您要定義靜態位址集區的陣列成員。

      note附註:
      在有多個陣列成員的部署中,VPN 用戶端可以連線至任何一個成員。這個設定會定義每個陣列成員可以使用的位址集區。每個陣列成員的位址集區絕不能與任何其他陣列成員的位址集區交集。

    3. [起始位址] 中,鍵入要指派給 VPN 用戶端之位址範圍中的第一個位址。

    4. [結束位址] 中,鍵入要指派給 VPN 用戶端之位址範圍中的最後一個位址。

    5. 按一下 [確定] 以關閉該對話方塊。

  5. [使用下列網路來取得 DHCP、DNS 和 WINS 服務] 中,選取名稱解析伺服器所在的網路。

  6. 如果您要設定 DNS 和 WINS 伺服器設定,按一下 [進階]

    1. 選取下列其中一項,以設定 DNS 伺服器位址設定:

      • 使用 DHCP 設定取得 DNS 伺服器位址

      • 使用下列的 DNS 伺服器位址:提供 VPN 用戶端應用於名稱解析之 DNS 伺服器的靜態 IP 位址。如果您選取此選項,請在 [主要] 中鍵入位於內部網路之 DNS 伺服器的 IP 位址,VPN 用戶端可用此位址來解析內部網路上的名稱。在 [備份] 中,鍵入位於內部網路之 DNS 伺服器的 IP 位址,以備主要 DNS 伺服器無法使用時,VPN 用戶端可用此伺服器來解析內部網路上的名稱。

    2. 選取下列其中一項,以設定 WINS 伺服器位址設定:

      • 使用 DHCP 設定取得 WINS 伺服器位址:如果 VPN 用戶端應該使用 DHCP 設定來取得 WINS 伺服器。

      • 使用下列 WINS 伺服器位址:提供 VPN 用戶端應用於名稱解析之 WINS 伺服器的靜態 IP 位址。如果您選取此選項,請在 [主要] 中鍵入位於內部網路之 WINS 伺服器的 IP 位址,VPN 用戶端可用此位址來解析內部網路上的名稱。在 [備份] 中,鍵入位於內部網路之 WINS 伺服器的 IP 位址,以備主要 WINS 伺服器無法使用時,VPN 用戶端可用此伺服器來解析內部網路上的名稱。

  7. 如果您尚未指定遠端存取使用者或群組,請參閱定義遠端 VPN 用戶端

  8. [遠端存取原則 (VPN) 內容] 視窗保持開啟,繼續「啟用基本的遠端用戶端存取」的下一個步驟。

note附註:
  • 透過 Active Directory 指派的位址 (在 [電腦管理] 中使用者內容的 [撥入] 索引標籤上) 無法用在超過一個成員伺服器的陣列上。

設定 VPN 用戶端存取網路與驗證方法

  1. 按一下 [遠端存取原則 (VPN) 內容] 視窗上的 [存取網路] 索引標籤。

  2. 確認您已選取 [外部] 網路,並為用戶端將啟始連至 VPN 伺服器的連線之任何其他網路選取核取方塊。

  3. 按一下 [遠端存取原則 (VPN) 內容] 視窗上的 [驗證] 索引標籤。

  4. 確認已選取 [Microsoft 加密驗證版本 2 (MS-CHAPv2)],然後清除任何其他驗證方法。

  5. 按一下 [確定] 儲存變更,然後按一下 [套用變更] 列上的 [套用]

啟用 VPN 用戶端存取並選取通道通訊協定

  1. [工作] 窗格上,按一下 [設定 VPN 用戶端存取],然後在 [一般] 索引標籤上,按一下 [啟用 VPN 用戶端存取]

    note附註:
    • 當您啟用 VPN 用戶端存取時,就會啟用 [允許 VPN 用戶端使用防火牆] 的系統原則規則。這個規則會建立內部網路與兩個 VPN 用戶端網路 (「VPN 用戶端」及「隔離的 VPN 用戶端」) 之間的路由關聯性。

    • 您應該建立存取規則,以允許 VPN 用戶端適當的存取權。例如,您可以在所有通訊協定或特定通訊協定上,建立允許從 VPN 用戶端網路存取內部網路的規則。

  2. 若有需要,請設定 [允許的最大 VPN 用戶端數量] (每個陣列成員),以調整可同時連線的用戶端數量上限。預設值是 100;最大設定是 1000。

  3. 按一下 [通訊協定] 索引標籤,然後確認已經選取 [啟用 PPTP]

    Tip提示:
    建議您剛開始時只用 PPTP 通訊協定來測試 VPN 連線。在確認連線之後,您應該啟用網際網路通訊協定安全性 (IPsec) 上的第二層通道通訊協定 (L2TP) 驗證及加密通訊協定,以增加安全性。如需指示,請參閱以增強的安全性設定遠端用戶端存取

測試基本 VPN 連線

  1. 使用遠端用戶端,從外部網路啟始 VPN 連線。

  2. 在 [Forefront TMG 管理] 主控台樹狀目錄中,按一下 [遠端存取原則 (VPN)] 節點,然後在詳細資料窗格中,按一下 [VPN 用戶端] 索引標籤。

  3. [工作] 索引標籤上,按一下 [監視 VPN 用戶端][工作階段]檢視器會顯示連線到 Forefront TMG 的 VPN 用戶端資料。

 
顯示: