TMG实现PPTP ×××---TMG 2010 ×××系列之一

    咱们都知道，Windows Server 2008的×××有三种类型：PPTP、L2TP/IPSec、SSTP。而对于SSTP ×××直接走443端口，增长了通用性。而对于ISA2004/2006均不能够实现这种类型的×××，而最近微软发布的新产品TMG增长了对SSTP ×××的支持，今天咱们就来看一下，这三种类型的×××在TMG下的实现方式：

    对于本内容咱们分三次进行，先来看最简单的PPTP ×××的实现解决方案。咱们的重点解决SSTP的×××，但在解决以前，咱们可能要进行一系列的测试工做，避免不了使用PPTP或L2TP/IPSec，全部干脆一并在这里一一道来，成为一个×××解决系列。

 

前言：

    对于×××的工做过程，不外乎两个阶段：身份验证和受权，对于身份验证说白了其实就是对用户进行合法性验证，便是否是对应数据库里的用户，而且密码验证也经过。受权，即该用户必须有拔入权限。

 

实验拓朴：

三台机器，全部配置如上所示，初始环境已经搭建结束，如W08a是DC和DNS，CA并无安装。W08c是TMG服务器，并已经安装了TMG，远程客户端win7的TCP相关配置如上。接下来咱们来看PPTP ×××的实现过程：

 

1、在TMG服务器上完成PPTP的相关配置：

以下图，打开开始菜单，运行TMG：

单击“远程访问策略（×××）”，咱们看到有“×××客户端和远程站点”两种类型的×××。在这里咱们选择“×××客户端”，并单击“定义地址分配”一项，为未来拔上来的客户端分配相应的地址池，以下图所示：

注意：在这里咱们分配地址池有两种方式：静态指定和DHCP，咱们选择静态，这里的地址范围必须不能是所使用的地址范围，如内部是10.1.1.0/24，这里必须是不一样于上述子网的。

上图肯定后，再次单击以下的“配置×××客户端访问”，选择相应的协议，咱们看到有三种类型的×××，在这里咱们选择PPTP。肯定。

回到页面后，咱们 单击“启用×××客户端访问”。而后咱们单击以下的“应用”，这项结束后， 若是是之前的2004或2006的标准版，咱们就能够测试了，但对于TMG2010咱们还必须单击“监视”项中的“配置”，查看服务器和配置存储是否同步，这点和之前的企业版是相似的。以下几图，最终应用的成功。

 

2、配置远程客户端的PPTP ×××的拔号链接：

打开“网络和共享中心”，以下图，单击“设置新的链接或网络”，接下来一系列的过程如示：

如上图，咱们输入TMG的公网的IP地址，下图咱们输入的用户名是哪里的？注意在本实验中，TMG服务器并无加入域，咱们也没有搭建RADIUS服务器，故咱们用的用户账号即是TMG的本地用户！！！

而后咱们来设置一下这个拔号链接的属性，设置使用PPTP方式来链接：

注意：若是咱们不设置PPTP，默认使用“自动”也能够进行链接，但速度会比较慢，由于要尝试多种链接，故建议指定你的×××链接主要为好。

以下图，咱们来拔号试试，结果提示没法拔入，分析缘由？

不能拔入的缘由很简单，咱们并无开户用户的拔入的权限，故接下来，咱们完成第三步：

 

3、在TMG上开启相应用户的拔入权限：

运行lusrmgr.msc，打开“本地用户和组”，并双击用户夹中的adminisrator，设置“拔入”项--容许拔入。以下所示：

咱们回到远程客户端，再次重试链接，链接成功！并得到了相应的IP，但若是你尝试联系内网并访问内网共享资源，却不能成功！？以下图：

分析缘由：其实这也正是TMG跑×××和2008跑×××的最大的区别，2008跑×××只要你能拔号连入，意味着你也就能够访问内网资源了（NAP ×××除外），但TMG下的×××，即便你拔上来，默认仍是不能访问资源的，你还必须在TMG做相应的“阵列访问规则”。接下来，咱们来完成第四步：

 

4、在TMG上建立阵列访问规则：

以下所示：在防火墙策略上新建一条“访问规则”：以下一系列图示。

如上图，仅为测试，故选择全部出站通信，若在生产环境里，根据状况定义，此处略。

如上图，单击肯定后，稍等一会，由于要完成同步过程。再回来远程客户端测试以下：

 

小结：其实在TMG上跑×××，也是使用windows Server 2008上的“路由和远程访问”功能，若是你打开“路由和远程访问”控制台，便会看到该组件的×××功能已经配置好了。但此时你最好不要再经过此控制台配置×××。（咱们都知道2008的这个组件默认是不安装的，看来咱们在安装TMG时被自动安装的）

 

预告：敬请关注 《TMG实现L2TP/IPSec ×××---TMG 2010 ×××系列之二》