• biuro@ar-net.info
  • 48 663 208 340

Windows Server 2008 Terminal Services Gateway (cz. 3)

Windows Server 2008 Terminal Services Gateway (cz. 3)

Przeprowadzimy kilka małych zmian konfiguracyjnych w Active Directory i na stronie CA. Następnie skupimy się na konfiguracji klienta VPN i zakończymy ustanowieniem połączenia SSL VPN.

 

W dwóch poprzednich częściach tej serii, dotyczących tego jak stworzyć serwer SSL VPN na Windows Server 2008, omówiliśmy podstawy sieci VPN, a następnie zagłębiliśmy się w konfigurację serwera. W tym momencie jesteśmy gotowi zakończyć temat poprzez przeprowadzenie kilku małych zmian konfiguracyjnych w Active Directory i na stronie CA. Po dokonaniu tych zmian skupimy się na konfiguracji klienta VPN i zakończymy ustanowieniem połączenia SSL VPN.
Skonfiguruj Konto Użytkownika w taki sposób, aby zezwalał na połączenia typu dial-up

Konta użytkownika wymagają uprawnienia dla dostępu typu dial-up, zanim mogą się połączyć z serwerem Windows VPN, który jest członkiem domeny Active Directory. Najlepszym sposobem, aby to zrobić jest skorzystanie z Network Policy Server (NPS) i użycie domyślnego uprawnienia konta użytkownika, które ma umożliwić dostęp zdalny oparty o politykę NPS. Ponieważ jednak nie zainstalowaliśmy serwera NPS w tym scenariuszu, będziemy musieli ręcznie skonfigurować uprawnienie „dial-in” użytkownika.

 

Kolejny artykuł napiszę na temat jak można wykorzystać serwer NPS i uwierzytelnienie EAP User Certificate w celu ustanowienia serwerowego połączenia SSL VPN.

 

Przeprowadź następujące kroki, aby aktywować uprawnienie „dial-in” na koncie użytkownika, które chcesz dołączyć do serwera SSL VPN. W tym przykładzie aktywujemy dostęp „dial-in” dla domyślnego konta administratora domeny:

 

  1. Z menu Administrative Tools wybierz konsolę Active Directory Users and Computers.
  2. W lewym oknie konsoli rozwiń nazwę domeny i kliknij węzeł Users. Kliknij dwukrotnie na konto Administrator.
  3. Kliknij na zakładkę Dial-in. Domyślnym ustawieniem jest Control access through NPS Network Policy. Ponieważ w tym scenariuszu nie mamy serwera NPS, zmienimy to ustawienie na Allow access, jak widać na rysunku poniżej. Kliknij OK.

Rysunek 1

Skonfiguruj IIS na Certificate Server w taki sposób, aby zezwalał na połączenia HTTP dla katalogu CRL

Z pewnych powodów, kiedy kreator instalacyjny instaluje stronę Certificate Services, konfiguruje katalog CRL w taki sposób, aby wymagał połączenia SSL. Mimo że ze względów bezpieczeństwa wydaje się to dobrym pomysłem, problemem jest fakt, że URI na certyfikacie nie jest skonfigurowany do wykorzystania SSL. Przypuszczam, że można stworzyć własny wpis CDP dla danego certyfikatu tak, aby korzystał z SSL, ale mogę się założyć o ostatni grosz, że Microsoft nigdzie nie udokumentował tego problemu. Ponieważ w tym artykule używamy ustawień domyślnych dla CDP, musimy wyłączyć wymaganie SSL na stronie CA dla ścieżki katalogowej CRL.

 

Postępuj według następujących kroków, aby wyłączyć wymaganie SSL dla katalogu CRL:

 

  1. W menu Administrative Tools otwórz Internet Information Services (IIS) Manager.
  2. W lewym oknie konsoli IIS rozszerz nazwę serwera, a następnie rozwiń węzeł Sites. Rozwiń węzeł Default Web Site i kliknij na węzeł CertEnroll, jak pokazuje rysunek poniżej.

Rysunek 2

  1. Jeśli popatrzysz na środkowe okno konsoli, zobaczysz, że CRL jest zlokalizowany w tym wirtualnym katalogu, jak widać na rysunku poniżej. Aby zobaczyć zawartość wirtualnego katalogu, musisz kliknąć na przycisk Content View na dole środkowego okna.

Rysunek 3

  1. Kliknij na przycisk Features View na dole środkowego okna. Kliknij tam dwukrotnie na ikonę SSL Settings.

Rysunek 4

  1. Strona SSL Settings pojawia się w środkowym oknie. Usuń zaznaczenie z pola wyboru Require SSL. Kliknij na link Apply w prawym oknie konsoli.

Rysunek 5

  1. Zamknij konsolę IIS po tym, jak zobaczysz komunikat The changes have been successfully saved.

Rysunek 6

Skonfiguruj plik HOSTS na kliencie VPN

Teraz możemy przenieść naszą uwagę na klienta VPN. Pierwszą rzeczą, jaką musimy zrobić po stronie klienta jest konfiguracja pliku HOSTS w taki sposób, abyśmy mogli symulować publiczną infrastrukturę DNS. Istnieją dwie nazwy, które musimy wpisać do pliku HOSTS (i to samo dotyczy publicznego serwera DNS, którego mógłbyś użyć w działającym środowisku. Pierwszą nazwą jest nazwa serwera VPN, jak definiuje ‚common/subject name’ na certyfikacie, który połączyliśmy z serwerem SSL VPN. Drugą nazwą, jaką musimy wpisać do pliku HOSTS (i publicznego serwera DNS), jest CDP URL, który można znaleźć na certyfikacie. W drugiej części tej serii widzieliśmy lokalizację informacji o CDP.

 

Oto te dwie nazwy, które musimy wpisać do pliku HOSTS w tym przykładzie:

 

192.168.1.73 sstp.msfirewall.org

192.168.1.73 win2008rc0-dc.msfirewall.org


Aby skonfigurować plik HOSTS przeprowadź następujące kroki na kliencie VPN systemu Vista SP1:

 

  1. Kliknij na przycisk Start, w polu wyszukiwania wprowadź c:\windows\system32\drivers\etc\hosts i naciśnij ENTER.
  2. W oknie dialogowym Open With kliknij dwukrotnie na Notepad.
  3. Wpisz elementy pliku HOSTS przy użyciu formatu pokazanego na rysunku poniżej. Nie zapomnij wcisnąć klawisza ENTER po ostatniej linijce tak, aby kursor pojawił się pod ostatnią linijką.

Rysunek 7

  1. Zamknij plik i wybierz opcję save, gdy padnie o to pytanie.


Wykorzystaj PPTP w celu połączenia z serwerem VPN

Zbliżamy się do stworzenia połączenia SSL VPN! Kolejnym krokiem jest utworzenie połączenia VPN typu „connectoid” na kliencie Vista SP1, który umożliwi nam zainicjowanie połączenia z serwerem VPN. Musimy to wykonać w naszym bieżącym scenariuszu, ponieważ komputer typu klient nie jest członkiem domeny. Ponieważ komputer nie jest członkiem domeny, certyfikat CA nie zainstaluje się automatycznie w jego magazynie certyfikatów Trusted Root Certificate Authorities. Gdyby komputer należał do członków domeny, problemem tym zajęłaby się za nas automatyczna rejestracja, dzięki zainstalowanemu Enterprise CA.

 

Najprostrzym sposobem, aby to zrobić jest stworzenie połączenia PPTP z klienta VPN systemu Vista SP1 na serwer VPN systemu Windows Server 2008. Serwer VPN będzie domyślnie obsługiwał połączenia PPTP, a klient będzie najpierw próbował PPTP zanim spróbuje L2TP/IPSec oraz SSTP. Aby to wykonać, musimy stworzyć connectoid VPN albo obiekt połączenia.

 

Postępuj według następujących kroków na kliencie VPN, aby stworzyć connectoid:

  1. Otwórz klienta VPN, kliknij prawym przyciskiem myszy na ikonę sieci w zasobniku i kliknij Network and Sharing Center.
  2. W oknie Network Sharing Center kliknij link Set up a connection or Network po lewej stronie okna.
  3. Na stronie Choose a connection option kliknij na wpis Connect to a workplace i kliknij Next.

Rysunek 8

  1. Na stronie How do you want to connect wybierz wpis Use my Internet connection (VPN).

Rysunek 9

  1. Na stronie Type the Internet address to connect to wpisz nazwę serwera SSL VPN. Upewnij się, że jest ona taka sama jak nazwa publiczna na certyfikacie używanym przez serwer SSL VPN. W tym przykładzie nazwa to sstp.msfirewall.org. Wpisz Destination Name. W tym przykładzie miejsce przeznaczenia nazwiemy SSL VPN. Kliknij Next.

Rysunek 10

  1. Na stronie Type your user name and password wpisz User name, Password oraz Domain. Kliknij Connect.

Rysunek 11

  1. Kliknij Close na stronie You are connected.

Rysunek 12

  1. Na stronie Select a location for the “SSL VPN” network wybierz opcję Work.

Rysunek 13

  1. Kliknij Continue w powiadomieniu UAC.
  2. Kliknij Close na stronie Successfully set network settings.

Rysunek 14

  1. W Network and Sharing Center kliknij na link View status w sekcji SSL VPN, jak widać na rysunku poniżej. Zobaczysz okienko dialogowe SSL VPN Status, gdzie typem połączenia VPN jest PPTP. Kliknij Close w okienku dialogowym SSL VPN Status.

 


Rysunek 15

  1. Otwórz wiersz poleceń i wydaj polecenie ping do serwera domeny. W tym przykładzie adres IP serwera domeny to 10.0.0.2. Jeśli Twoje połączenie VPN się uda, otrzymasz odpowiedź „ping” z serwera.

 


Rysunek 16

Otrzymaj certyfikat CA z Enterprise CA

Klient SSL VPN musi ufać CA, które wydało certyfikat używany przez serwer VPN. Aby ustanowić zaufanie, musimy zainstalować certyfikat CA tego Certificate Authority, które wydało certyfikat serwera VPN. Możemy to zrobić poprzez połączenie z witryną rejestracyjną na CA w sieci wewnętrznej i zainstalowanie certyfikatu w magazynie certyfikatów Trusted Root Certification Authorities klienta VPN.

 

Postępuj według następujących kroków, aby otrzymać certyfikat z witryny rejestracyjnej:

 

  1. Na kliencie VPN, który jest połączony z serwerem VPN poprzez link PPTP wpisz http://10.0.0.2/certsrv na pasku adresu w Internet Explorer i naciśnij ENTER.
  2. Wpisz nazwę użytkownika i poprawne hasło w okienku dialogowym uwierzytelnień. W tym przykładzie użyjemy nazwy użytkownika i hasła domyślnego konta administratora domeny.
  3. Na stronie Welcome witryny rejestracyjnej kliknij link Download a CA certificate, certificate chain, or CRL.

 


Rysunek 17

  1. Kliknij Allow w okienku dialogowym, ostrzegającym: A website wants to open web content using this program on your computer (Witryna chce otworzyć zawartość sieci przy użyciu programu na Twoim komputerze). Następnie kliknij Close jeśli się pojawi w okienku dialogowym Did you notice the Information bar (Zauważyłeś pasek informacyjny?).

 


Rysunek 18

  1. Zauważ, że pasek informacyjny powiadamia o tym, że witryna internetowa może nie pracować właściwie, ponieważ komponent ActiveX Control jest zablokowany. Nie powinno to stanowić problemu, ponieważ będziemy pobierać certyfikat CA i korzystać z Certificates MMC do zainstalowania certyfikatu. Kliknij link Download CA certificate.

Rysunek 19

  1. W okienku dialogowym File Download – Security Warning kliknij przycisk Save. Zapisz certyfikat na pulpicie.

 


Rysunek 20

  1. Kliknij Close w okienku dialogowym Download complete.
  2. Zamknij Internet Explorer.

Teraz musimy zainstalować certyfikat CA w magazynie certyfikatów Trusted Root Certification Authorities Certificate Store na komputerze klienta VPN. Postępuj według następujących kroków, aby zainstalować certyfikat:

 

  1. Kliknij Start, a następnie wpisz mmc w oknie wyszukiwania. Naciśnij ENTER.
  2. Kliknij Continue w okienku dialogowymin UAC.
  3. W oknie konsoli Console1 kliknij menu File, a następnie kliknij Add/Remove Snap-in.
  4. W okienku dialogowym Add or Remove Snap-ins kliknij wpis Certificates na liście Available snap-ins, a następnie kliknij Add.
  5. Na stronie Certificates snap-in wybierz opcję Computer account i kliknij Finish.
  6. Na stronie Select Computer wybierz opcję Local computer i kliknij Finish.
  7. Kliknij OK w okienku dialogowym Add or Remove Snap-ins.
  8. W lewym oknie konsoli rozwiń węzeł Certificates (Local Computer), a następnie rozwiń węzeł Trusted Root Certification Authorities. Kliknij na węzeł Certificates. Kliknij prawym przyciskiem myszy na węzeł Certificates, wskaż All Tasks i kliknij Import.

 


Rysunek 21

  1. Kliknij Next na stronie Welcome to the Certificate Import Wizard.
  2. Na stronie File to Import użyj przycisku Browse, aby znaleźć certyfikat, następnie kliknij Next.

 


Rysunek 22

  1. Na stronie Certificate Store potwierdź, że opcja Place all certificates in the following store jest wybrana i że magazyn Trusted Root Certification Authorities jest tym ze spisu. Kliknij Next.

 


Rysunek 23

  1. Kliknij Finish na stronie Completing the Certificate Import.
  2. Kliknij OK w okienku dialogowym, informującym, że import zakończył się pomyślnie.
  3. Teraz certyfikat pojawi się w konsoli, jak widać na rysunku poniżej.

 


Rysunek 24

  1. Zamknij konsolę MMC.

Skonfiguruj klienta w taki sposób, aby używał SSTP i łączył się z serwerem VPN przy użyciu SSTP

Prawie skończone! Teraz musimy rozłączyć połączenie VPN i skonfigurować klienta VPN w taki sposób, aby używał SSTP dla swojego protokołu VPN. W środowisku docelowym nie powinieneś pozwolić, aby użytkownicy wykonali ten krok, ponieważ sam będziesz używał narzędzia Connection Manager Administration Kit (CMAK) do stworzenia connectoidu VPN dla użytkownika, co sprawi, że klient będzie używał SSTP albo skonfigurujesz tylko porty SSTP na serwerze VPN.

 

Zależy to od danego środowiska, ponieważ da się to tak skoordynować, aby użytkownik mógł używać PPTP przez tę chwilę, gdy wdrażasz certyfikaty. Oczywiście zawsze możesz wdrożyć certyfikaty CA w inny sposób, na przykład poprzez ściągnięcie ich z witryny internetowej lub przez e-mail i w tych przypadkach nie trzeba stosować PPTP. Ale jeśli zdarzą się klienci wcześniejszych wersji, którzy nie obsługują SSTP, będziesz musiał umożliwić stosowanie PPTP lub L2TP/IPSec, tak więc nie będziesz w stanie dezaktywować wszystkich portów, które nie są SSTP. W takim przypadku będziesz musiał polegać na ręcznej konfiguracji lub zaktualizowanym pakiecie CMAK.

 

Innym rozwiązaniem jest powiązanie odbiornika SSTP do konkretnego adresu IP na serwerze RRAS. W tym przypadku możesz stworzyć własny pakiet CMAK, który będzie wskazywał tylko te adresy IP na serwerze SSL VPN, które odbierają przychodzące połączenia SSTP. Inne adresy na serwerze SSTP VPN odbierałyby połączenia PPTP oraz/lub L2TP/IPSec.

Postępuj według następujących kroków, aby odłączyć sesję PPTP i skonfigurować connectoid klienta VPN w taki sposób, aby korzystał z SSTP:

 

  1. Na komputerze klienta VPN otwórz Network and Sharing Center, jak to już zrobiłeś wcześniej.
  2. W oknie Network and Sharing Center kliknij link Disconnect, który leży zaraz pod linkiem View Status,którego wcześniej używaliśmy. Sekcja SSL VPN zniknie z Network and Sharing Center.
  3. W Network and Sharing Center kliknij link Manage network connections.
  4. Kliknij prawym przyciskiem myszy link SSL VPN i kliknij polecenie Properties.

 


Rysunek 25

  1. W okienku dialogowym SSL VPN Properties kliknij zakładkę Networking. W rozwijanym polu Type of VPN kliknij strzałkę w dół, wybierz opcję Secure Socket Tunneling Protocol (SSTP) i kliknij OK.

 


Rysunek 26

  1. Kliknij dwukrotnie connectoid SSL VPN w oknie Network Connections.
  2. W okienku dialogowym Connect SSL VPN kliknij przycisk Connect.
  3. Gdy połączenie jest zakończone, kliknij prawym przyciskiem myszy na connectoid SSL VPN w oknie Network Connections i kliknij Status.

Rysunek 27

  1. W okienku dialogowym SSL VPN Status możesz zobaczyć, że połączenie SSTP WAN Miniport zostało ustanowione.

 


Rysunek 28

  1. Jeżeli przejdziesz do serwera VPN i otworzysz konsolę Routing and Remote Access Console, potwierdzisz, że połączenie SSTP zostało ustanowione.

 


Rysunek 29

Podsumowanie

W ostatniej części naszej serii artykułów na temat tego, jak połączyć serwer SSL VPN przy użyciu Windows Server 2008, zakończyliśmy konfigurację konta użytkownika, witryny CRL oraz klienta SSL VPN. Końcowym elementem było dokonanie połączenia SSTP i potwierdzenie, że ono się udało. –Tom.

 


Potrzebujesz wsparcia