no_promises1026
New Member
Download miễn phí Kiểm tra máy chủ mạng riêng ảo TMG 2010
Trong tab User Mapping, bạn có một tùy chọn cho phép bạn bản đồ hóa
các máy khách VPN từ các không gian tên non-Windows (chẳng hạn như
những người dùng đã được thẩm định RADIUS hay EAP) đến không
gian tên Windows. Điều này có nghĩa rằng nếu không tích hợp sự thẩm
định cho cácmáy khách VPN, sử dụng RADIUS hay EAP, thì bạn
không thể lợi dụng các nhóm Windows Active Directory một cách tự
động. Vì vậy, nếu việc bản đồ hóa người dùng không được kích hoạt, bạn
sẽ phải tạo một tập người dùng trên TMG firewall và sử dụng người dùng
thông thường đã được thiết lập khi cấu hình rule tường lửa để kiểm soát
sự truy cập các máy khách VPN. Rõ ràng, để làm việc, TMG firewall
phải là một thành viên miền. Chúng tôi sẽ không sử dụng User Mapping
trong ví dụ này vì không sử dụng thẩm định RADIUShay EAP.
Để tải bản Đầy Đủ của tài liệu, xin Trả lời bài viết này, Mods sẽ gửi Link download cho bạn sớm nhất qua hòm tin nhắn.
Ai cần download tài liệu gì mà không tìm thấy ở đây, thì đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí
Tóm tắt nội dung tài liệu:
Kiểm tra máy chủ mạng riêng ảo TMG 2010 - Phần 1: Tổng quan vềcấu hình VPN
Trong phần một của loạt bài này, chúng tui sẽ giới thiệu cho các bạn
các kiến thức tổng quan về cấu hình VPN trong TMG 2010.
Nhiều năm qua ISA và sau đó là máy chủ TMG VPN đã là người bạn
thân thiết của các quản trị viên bất cứ khi nào họ rời văn phòng mình. Với
ISA 2004, Microsoft đã có một thành công thực sự khi nói đến máy chủ
VPN của họ. ISA VPN server là một giải pháp VPN truy cập từ xa mạnh
mẽ và dễ dàng cấu hình. Những gì các bạn có thể cảm giác thích nhất về
ISA VPN server vì nó là một trong những giải pháp an toàn nhất trên thị
trường. Khi nó đến truy cập từ xa, vấn đề bảo mật của nó là hoàn toàn
đảm bảo.
Mặc dù vậy cần thừa nhận rằng khi cấu hình DirectAccess của mình
được thiết lập và chạy, các bạn sẽ không sử dụng VPN nhiều. Tuy nhiên
sẽ có nhiều lần ai đó cần sử dụng máy tính mà không có DirectAccess, vì
vậy chúng ta vẫn phụ thuộc vào truy cập VPN để vào mạng của mình. Đó
là lý do tại sao chúng ta vẫn cần có máy chủ TMG VPN trong văn phòng.
Trong loạt bài về máy chủ TMG VPN này, chúng tui sẽ bắt đầu bằng giới
thiệu tổng quan về cấu hình VPN, sau đó đi vào một số vấn đề cụ thể để
kích hoạt sự truy cập L2TP/IPsec và SSTP. Nếu bạn hoàn toàn cảm giác
mới mẻ với ISA/TMG, thì phần này sẽ cung cấp cho bạn những kiến thức
cơ bản về những gì đang diễn ra.
Chúng ta hãy bắt đầu bằng cách mở giao diện TMG firewall và kích nút
Remote Access Policy (VPN) trong phần panel bên trái. Trong phần
panel bên phải, trong danh sách VPN Clients Tasks, kích liên kết Enable
VPN Client Access, như thể hiện trong hình bên dưới.
Hình 1
Nếu là một quản trị viên ISA VPN có kinh nghiệm thì chắc chắn bạn sẽ
nhận ra hộp thoại này. Kích OK trong hộp thoại này và sửa vấn đề.
Hình 2
Trong phần panel bên phải của giao diện điều khiển, kích liên kết Define
Address Assignments, xem thể hiện như hình bên dưới.
Hình 3
Trong hộp thoại Remote Access Policy (VPN) Properties, kích tab
Address Assignment. Chọn tùy chọn Dynamic Host Configuration
Protocol (DHCP). Thao tác này sẽ cấu hình tường lửa TMG để thu được
các địa chỉ IP cho các máy khách VPN (và adapter RAS của chính nó) từ
máy chủ DHCP. Lưu ý rằng chỉ thu được các địa chỉ IP từ máy chủ VPN.
Bạn sẽ không có các tùy chọn DHCP. Để cung cấp các tùy chọn DHCP
đến các máy khách VPN, bạn cần cấu hình máy chủ TMG VPN làm
DHCP relay. Chúng tui sẽ giới thiệu về cách thực hiện này trong một
phần khác.
Lưu ý danh sách sổ xuống Use the following network to obtain DHCP,
DNS and WINS services. Danh sách này gồm có tên của NIC đã được
cài đặt trên TMG firewall. TMG firewall sẽ sử dụng các thiết lập DNS và
các WINS trên NIC mà bạn chọn nhằm cung cấp các dịch vụ này cho
máy khách VPN. Mặc dù vậy, nếu muốn tùy chỉnh cấu hình, bạn có thể
kích nút Advanced.
Hình 4
Lúc này bạn sẽ thấy xuất hiện hộp thoại Name Resolution. Thiết lập mặc
định là Obtain DNS server addresses using DHCP configuration. Mặc
dù vậy, bạn có thể chọn các tùy chọn Use the following DNS server
addresses và Use the following WINS server addresses để sử dụng các
địa chỉ không có trong cấu hình trên các NIC trên TMG firewall.
Hình 5
Kích OK, sau đó kích Apply ở phía trên trong panel ở giữa để áp dụng
những thay đổi cho Firewall Policy.
Lưu ý rằng vấn đề đánh địa chỉ cần được xử lý, vì vậy kích liên kết
Enable VPN Client Access trong phần panel bên phải của giao diện điều
khiển.
Hình 6
Kích Apply ở phía trên trong phần panel giữa để lưu các thay đổi đối với
Firewall Policy.
Như được đề cập từ trước, TMG firewall sẽ thu được địa chỉ IP từ DHCP
server. Đây là cách nó làm việc: TMG firewall không thu được các địa
chỉ này tại một thời điểm mà thay vào đó, nó yêu cầu các địa chỉ IP trong
các nhóm 10. Rõ ràng bạn cần có một DHCP server trên mạng để
thực hiện công việc này. Chúng tui đã cài đặt một DHCP server trên
domain controller trong mạng thử nghiệm của mình. Khi kiểm tra giao
diện điều khiển DHCP, bạn sẽ thấy TMG firewall đã “chộp” được 10 địa
chỉ IP từ DHCP server, xem thể hiện trong hình bên dưới.
Hình 7
Kích liên kết Configure VPN Client Access trong phần panel bên phải
của giao diện.
Hình 8
Trong hộp thoại VPN Clients Properties, trong tab General, bạn sẽ thấy
hộp kiểm Enable VPN client access đã được tích và Maximum number
of VPN clients allowed được thiết lập là 100. Với Standard Edition, bạn
sẽ bị hạn chế ở 1000 kết nối, với Enterprise Edition bạn sẽ không bị hạn
chế (có thể chỉ bị hạn chế về phần cứng và mạng hỗ trợ).
Hình 9
Kích tab Groups. Ở đây bạn có thể cấu hình thông qua Active Directory
nhóm người dùng nào có thể kết nối đến VPN server. Bạn chọn các nhóm
bằng cách sử dụng nút Add. Các tài khoản User thuộc về các nhóm miền
này cần được cấu hình truy cập VPN trong các tùy chọn tài khoản
“dial-in” được thiết lập để kiểm soát sự truy cập thông qua chính sách.
Điều này được thiết lập mặc định cho các miền của Windows Server
2008, chính vì vậy chúng ta không cần thực hiện bất cứ thứ gì trong
Active Directory để bảo đảm cho nó làm việc. Tuy nhiên nếu sử dụng
Windows Server 2003, bạn nên kiểm tra các thiết lập đó.
Hình 10
Khi kích nút Add, hộp thoại Select Groups sẽ xuất hiện. Trong phần
From this location, bảo đảm rằng bạn đã chọn miền. Mặc định sẽ là máy
tính nội bộ, và bạn không cần chọn cho điều đó. Trong ví dụ này,
chúng tui đã chọn miền msfirewall.org và cho phép tất cả người dùng
trong miền có thể kết nối đến VPN, vì vậy sẽ phải nhập Domain Users
trong hộp văn bản Enter the object names to select. Kích OK để lưu các
thay đổi.
Hình 11
Lúc này bạn có thể thấy nhóm xuất hiện trong danh sách trên tab Groups,
như thể hiện trong hình bên dưới.
Hình 12
Kích tab Protocols. Ở đây bạn có thể chọn giao thức VPN nào có thể
được sử dụng để kết nối đến máy chủ TMG VPN. Các tùy chọn gồm có:
Enable PPTP
Enable L2TP/IPsec
Enable SSTP
Tùy chọn Enable PPTP được kích hoạt mặc định và sẽ làm việc không
cần cấu hình bổ sung nào trên các máy khách VPN, chỉ cần cấu hình bổ
sung tối thiểu trên máy chủ TMG VPN. Mặc dù vậy, nếu chọn tùy chọn
L2TP/IPsec hay SSTP, bạn sẽ cần xử lý một số vấn đề có liên quan đến
các chứng chỉ (về vấn đề này bạn có thể sử dụng khóa tiền chia sẻ với
L2TP/Ipsec, nhưng đó là cách làm không an toàn). Chúng ta sẽ đi vào các
yêu cầu cấu hình và các thủ tục cho hai giao thức VPN này sau.
Hình 13
Trong tab User Mapping, bạn có một tùy chọn cho phép bạn bản đồ hóa
các máy khách VPN từ các không gian tên non-Windows (chẳng hạn như
những người dùng đã được thẩm định RADIUS hay EAP) đến không
gian tên Windows. Điều này có nghĩa rằng nếu không tích hợp sự thẩm
định cho các máy khách VPN, sử dụng RADIUS hay EAP, thì bạn
không thể lợi dụng các nhóm Windows Active Directory một cách tự
động. Vì vậy, nếu việc bản đồ hóa người dùng không được kích hoạt, bạn
sẽ phải tạo một tập người dùng trên TMG firewall và sử dụng người dùng
thôn...