学习MCSE的同学一般都是在实验课程里实现基于PPTP的×××,而且教材上也没有基于L2TP的×××的实验步骤和详细方法 最近很多老学员反应基于 L2TP 的远程访问 ×××在企业应用中在逐渐增加 而且,大家在教材上也已经学习到L2TP对比PPTP的优势 下面就L2TP的实现谈一谈,有疏漏之处,请指正!
《基于 L2TP 的远程访问 ×××》
原创:万和-BLACKMAN 步骤: 一.首先要再×××服务器端和客户端都颁发计算机证书,实验环境在本地模式的WINDOWS2000域中,DC也是CA,一个客户从远程拨入!
颁发计算机证书的方法:
从企业 CA 配置自动证书分配
1.打开 Active Directory 用户和计算机。
2.在控制台目录树中, 双击“Active Directory 用户和计算机”,右键单击 CA 所在的域名,然后单击“属性”。 3.在“组策略”选项卡上,单击“默认域策略”,然后单击“编辑”。 4.在控制台目录树中,计算机配置-Windows 设置-安全设置-公钥策略-自动证书申请设置 单击“自动证书申请设置”。 5.自动证书申请设置 >右键单击“自动证书申请设置”,指向“新建”,然后单击“自动证书申请”。 将显示自动证书申请向导。单击“下一步”。 在“证书模板”中,单击“计算机”,然后单击“下一步”。 企业根 CA 将显示在列表中。单击该 CA,单击“下一步”,然后单击“完成”。 要创建 CA 计算机的计算机证书,请在 Windows 2000 命令提示符后键入如下命令: secedit /refreshpolicy machine_policy(命令在CA和客户端都做)
查看证书服务器中的颁发记录,看是否已经为各方颁发了证书
二.配置×××服务器 在远程访问策略中新建一策略,并移动到最上面(这一步是为了安全控制)
要配置远程访问策略以控制 ××× 连接的身份验证和加密选项,请使用以下设置创建远程访问策略:
将“策略名称”设置为“××× 访问”(范例)。
对于条件,请将 NAS-Port-Type 条件设置为“虚拟 (×××)”,并将 Tunnel-type 条件设置为 第二层隧道协议。 选择“授予远程访问权限”选项。 对于配置文件设置,请选择适当的身份验证和加密选项。 然后,删除名为“如果启用拨入权限,则允许访问”的默认远程访问策略,或在新策略后将其移走。该远程访问策略允许所有带有远程访问权限的用户创建 ××× 连接。
如果要区分拨入远程访问用户和 ××× 远程访问用户,请执行以下操作:
创建 Windows 2000 组,它的成员可以创建与 ××× 服务器的虚拟专用网络连接。例如,×××_Users。
将适当的用户帐户添加到新的 Windows 2000 组中。 创建带有以下属性的新远程访问策略: 将“策略名称”设置为“如果是 ×××_Users 的成员,则进行 ××× 访问”(范例)。 对于条件,请将 Windows-Groups 条件设置为 ×××_Users(范例),将 NAS-Port-Type 条件设置为“虚拟 (×××)”,将 Tunnel_Type 条件设置为 第二层隧道协议。 选择“授予远程访问权限”选项。 在新策略之后,移动名为“如果启用拨入权限,则允许访问”的默认远程访问策略。 在Active Directory 用户和计算机中把要拨入的帐号的拨入属性设置为通过远程访问策略验证的选项。(不在域本地模式,这种设置无法实现:)我也没有办法,最好升级到本地模式,否则安全控制不详细)
在客户端的网络和拨号连接中,新建一个×××拨号,在属性的连接(网络)标签中把自动更改为L2TP,OK现在可以尝试一下啦!
|
转载于:https://blog.51cto.com/jiayi/29148