Cấu hình Windows Server 2008 thành SSL VPN Server truy cập từ xa (Phần 3)

Cấu hình Windows Server 2008 thành SSL VPN Server truy cập từ xa (Phần 1)
Cấu hình Windows Server 2008 thành SSL VPN Server truy cập từ xa (Phần 2)

Thomas Shinder

Trong hai phần trước của loạt bài giới thiệu cách tạo một máy chủ SSL VPN trên Windows Server 2008 này, chúng tôi đã giới thiệu các kiến thức cơ bản về vấn đề kết nối mạng VPN, sau đó đi sâu vào cấu hình của máy chủ. Trong quá trình này, chúng tôi đã thực hiện một số thay đổi cấu hình nhỏ trong Active Directory và trên CA Web. Sau khi thực hiện một số thay đổi, chúng tôi sẽ tập trung vào cấu hình máy khách VPN và kết thúc bằng việc thiết lập kết nối SSL VPN.

Cấu hình tài khoản người dùng cho phép kết nối Dial-up

Các tài khoản người dùng cần những điều khoản cho việc truy cập dial-up trước khi họ có thể kết nối với máy chủ Windows VPN (một thành viên của miền Active Directory). Cách tốt nhất để thực hiện điều này là sử dụng Network Policy Server (NPS) và sử dụng điều khoản tài khoản người dùng mặc định, những điều khoản này là để cho phép truy cập từ xa được thiết lập dựa trên chính sách NPS. Tuy vậy, chúng ta đã không cài đặt máy chủ NPS trong kịch bản này, vì vậy sẽ phải cấu hình một cách thủ công các điều khoản này của người dùng.

Thực hiện các bước dưới đây để kích hoạt các điều khoản quay số trên tài khoản người dùng mà bạn muốn kết nối đến máy chủ SSL VPN. Trong ví dụ này, chúng tôi sẽ kích hoạt truy cập quay số của tài khoản quản trị viên miền mặc định:

1. Tại domain controlle, mở giao diện điều khiển Active Directory Users and Computers từ menu Administrative Tools.

2. Trong phần panel bên trái của giao diện, mở rộng tên miền và kích vào nút Users. Kích đúp vào tài khoản Administrator.

3. Kích tab Dial-in. Thiết lập mặc định là Control access through NPS Network Policy. Vì chúng ta không có máy chủ NPS trong kịch bản này nên sẽ thay đổi thiết lập thành Allow access, như những gì bạn có thể thấy được trong hình bên dưới. Kích OK để tiếp tục.


Hình 1

Cấu hình IIS trên máy chủ chứng chỉ để cho phép các kết nối HTTP được thực hiện với CRL Directory

Vì một số lý do nên khi wizard đang cài đặt Certificate Services Web site, nó sẽ cấu hình thư mục CRL để yêu cầu một kết nối SSL. Điều này xét theo góc độ bảo mật dường như là một ý tưởng tốt, vấn đề bộc lộ ở đây là URL trên chứng chỉ không được cấu hình sử dụng SSL. Chúng tôi hy vọng bạn có thể tạo một entry CDP tùy chỉnh cho chứng chỉ để nó có thể sử dụng SSL, tuy nhiên bạn có thể sẽ tốn rất nhiều công sức vì Microsoft không có tài liệu cho vấn đề này. Chính vì chúng ta đang sử dụng các thiết lập mặc định cho CDP trong bài này nên cần tắt các yêu cầu SSL trên Web site của CA về đường dẫn của thư mục CRL.

Thực hiện các bước dưới đây để vô hiệu hóa yêu cầu SSL cho thư mục CRL này:

1. Từ menu Administrative Tools, mở Internet Information Services (IIS) Manager.

2. Trong phần panel bên trái của giao diện điều khiển, mở phần tên máy chủ và sau đó kích nút Sites. Mở nút Default Web Site và kích vào CertEnroll, bạn có thể xem những gì thực hiện trong hình vẽ bên dưới.


Hình 2

3. Nếu nhìn vào phần giữa của giao diện điều khiển thì bạn sẽ thấy CRL được đặt trong thư mục ảo này, như những gì trong hình bên dưới thể hiện. Để xem nội dung của thư mục ảo này, bạn cần phải kích vào nút Content View ở phần bên dưới của panel giữa.


Hình 3

4. Kích vào nút Features View ở phần bên dưới của panel giữa. Tại phần dưới của panel giữa này, kích đúp vào biểu tượng SSL Settings.


Hình 4

5. Trang SSL Settings xuất hiện ở giữa panel. Hủy bỏ dấu chọn từ hộp kiểm Require SSL. Kích vào liên kết Apply ở bên phải của giao diện điều khiển.


Hình 5

6. Đóng giao diện điều khiển IIS sau khi bạn thấy thông báo The changes have been successfully saved.


Hình 6

Cấu hình File HOSTS trên máy khách VPN

Lúc này chúng ta có thể chuyển sự quan tâm sang máy khách VPN. Thứ đầu tiên cần thực hiện là cấu hình file HOSTS để có thể mô phỏng một cơ sở hạ tầng DNS công cộng. Có hai tên mà chúng ta cần nhập vào file HOSTS (và cũng vậy với máy chủ DNS công cộng mà bạn sẽ sử dụng trong môi trường sản xuất). Đầu tiên là tên của máy chủ VPN, như đã được định nghĩa bởi tên common/subject trên chứng chỉ mà bạn đã giới hạn cho máy chủ SSL VPN. Tên thứ hai cần nhập vào file HOSTS (và máy chủ DNS công cộng) là CDP URL, tên được tìm thấy trong chứng chỉ. Chúng ta đã thấy được vị trí của các thông tin CDP trong phần hai của loạt bài này.

Hai tên cần nhập vào trong file HOSTS trong ví dụ này là:

192.168.1.73 sstp.msfirewall.org
192.168.1.73 win2008rc0-dc.msfirewall.org

Thực hiện các bước dưới đây trên máy khách Vista SP1 VPN để cấu hình file HOSTS:

1. Kích nút Start và nhập vào dòng c:\windows\system32\drivers\etc\hosts trong hộp tìm kiếm và nhấn Enter.

2. Trong hộp thoại Open With, kích đúp vào Notepad.

3. Nhập vào các mục của file HOSTS bằng định dạng như những gì bạn có thể nhìn thấy trong hình bên dưới. Bảo đảm phải nhấn Enter sau dòng cuối cùng để con trỏ xuất hiện ở dưới dòng cuối cùng đó.


Hình 7

4. Đóng file và chọn tùy chọn save khi được hỏi.

Sử dụng PPTP để kết nối với máy chủ VPN

Chúng ta đang tiến gần hơn với việc tạo một kết nối SSL VPN! Bước tiếp theo là tạo một kết nối VPN trên máy khách Vista SP1 để cho phép có thể tạo một kết nối VPN ban đầu cho máy chủ VPN. Chúng ta cần thực hiện công việc này trong kịch bản hiện hành vì máy tính trình khách không phải là một thành viên miền. Do máy tính này không nằm trong miền nên nó sẽ không có chứng chỉ CA được cài đặt một cách tự động trong kho lưu trữ chứng chỉ Trusted Root Certificate Authorities. Nếu máy tính này là một thành viên miền thì việc tự động kết nạp sẽ quan tâm đến vấn đề đó, vì đã cài đặt Enterprise CA. Cách đơn giản nhất để thực hiện điều này là tạo một kết nối PPTP từ máy khách Vista SP1 VPN đến máy chủ Windows Server 2008 VPN. Mặc định, máy chủ VPN sẽ hỗ trợ các kết nối PPTP và máy khách sẽ thử PPTP đầu tiên trước khi thử L2TP/IPSec và SSTP. Để thực hiện điều này, chúng ta cần phải tạo một kết nối VPN hoặc đối tượng kết nối.

Thực hiện các bước dưới đây trên máy khách VPN để tạo kết nối:

1. Trên máy khách VPN, kích chuột phải vào biểu tượng và sau đó kích Network and Sharing Center.

2. Trong cửa sổ Network Sharing Center, kích vào liên kết trên Set up a connection or network phía trái của cửa sổ.

3. Trên cửa sổ Choose a connection option, kích vào mục Connect to a workplace và sau đó kích Next.


Hình 8

4. Trên cửa sổ How do you want to connect, chọn mục Use my Internet connection (VPN).


Hình 9

5. Trên cửa sổ Type the Internet address to connect to, nhập vào đó tên của máy chủ SSL VPN. Bảo đảm rằng tên này giống với tên chung trên chứng chỉ đã được sử dụng bởi máy chủ SSL VPN. Trong ví dụ này, tên của nó là sstp.msfirewall.org. Nhập vào Destination Name. Trong ví dụ này chúng tôi sẽ đặt tên SSL VPN đích. Kích Next.


Hình 10

6. Trên cửa sổ Type your user name and password, nhập vào PasswordDomain. Kích Connect.


Hình 11

7. Kích Close trên cửa sổ You are connected.


Hình 12

8. Trên cửa sổ Select a location for the “SSL VPN” network, chọn tùy chọn Work.


Hình 13

9. Kích Continue trong lời nhắc của UAC.

10. Kích Close trên cửa sổ Successfully set network settings


Hình 14

11. Trong Network and Sharing Center, kích vào liên kết View status trong phần SSL VPN, có thể tham khảo trong hình bên dưới. Bạn sẽ thấy trong hộp thoại SSL VPN Status kiểu kết nối VPN này là PPTP. Kích Close trong hộp thoại SSL VPN Status.


Hình 15

12. Mở cửa sổ lệnh và ping đến domain controller. Trong ví dụ này, địa chỉ IP của domain controller là 10.0.0.2. Nếu kết nối VPN được thực hiện thành công thì bạn sẽ nhận được một reply của quá trình ping từ domain controller.


Hình 16

Cấu hình Windows Server 2008 thành SSL VPN Server truy cập từ xa (Phần 4)

Thứ Năm, 06/03/2008 18:27
31 👨 8.010
0 Bình luận
Sắp xếp theo