Поиск

Полнотекстовый поиск:
Где искать:
везде
только в названии
только в тексте
Выводить:
описание
слова в тексте
только заголовок

Рекомендуем ознакомиться

'Конкурс'
совместное планирование отдыха Ночной поход, встреча рассвета 8 Поход Возвращение в лагерь Отдых Отдых 9 Ролевые игры Конкурс рисунков “Лагерь моей м...полностью>>
'Рабочая программа курса'
Рабочая программа составлена на основе примерной программы основного общего образования по информатике и информационным технологиям (сборник материало...полностью>>
'Документ'
инвестиционных фондах; — обязанности и ответственность банков по обеспечению своевременного и пол- ного поступления налоговых платежей в бюджет....полностью>>
'Программа'
Утверждена
Президиумом совета по профессиональному образованию
Института профессиональных бухгалтеров и аудиторов России
(протокол № 02/09 от 21 дека...полностью>>

Пошаговое руководство по организации удаленного доступа по протоколу sstp

Главная > Руководство
Сохрани ссылку в одной из сетей:

Пошаговое руководство по организации удаленного доступа по протоколу SSTP

Корпорация Майкрософт

Дата опубликования: декабрь 2007 г.

Краткий обзор

Протокол SSTP (Secure Socket Tunneling Protocol) – это новая разновидность VPN-туннеля, позволяющая передавать данные через брандмауэры, которые блокируют трафик протоколов PPTP и L2TP/IPsec. В протоколе SSTP предусмотрен механизм инкапсуляции трафика PPP через канал SSL протокола HTTPS. Применение протокола PPP, в свою очередь, делает возможной поддержку методов строгой проверки подлинности – в частности, EAP-TLS. Протокол HTTPS пропускает данные через порт TCP 443 – стандартный порт веб-доступа. Наконец, протокол SSL (Secure Sockets Layer) обеспечивает защиту на транспортном уровне, а также широкие возможности согласования ключей, шифрования и проверки целостности.

В настоящем документе предлагаются подробные инструкции по созданию лаборатории тестирования на основе трех компьютеров, а также по настройке и тестированию удаленного доступа через виртуальную частную сеть (VPN) под управлением ОС Windows Server® 2008 и Windows Vista® с пакетом обновления 1 (SP1). Эти инструкции описывают поэтапный процесс настройки SSTP-соединения.

Сведения об авторских правах

Настоящий документ относится к предварительной версии программного продукта, которая может в значительной степени измениться до выхода заключительной версии, и содержит конфиденциальную информацию, являющуюся собственностью корпорации Майкрософт. Данная информация предоставляется на основе соглашения о неразглашении между стороной, которой она предоставляется, и корпорацией Майкрософт. Документ предназначен исключительно для информационных целей, и корпорация Майкрософт не предоставляет в настоящем документе каких-либо явных или подразумеваемых гарантий. Сведения, приведенные в документе, включая URL-адреса и иные ссылки на веб-узлы, могут быть изменены без предварительного уведомления. Весь риск использования документа или содержащихся в нем результатов возлагается на потребителя. За исключением специально оговоренных случаев, все приведенные в документе примеры компаний, организаций, продуктов, доменных имен, адресов электронной почты, логотипов, людей, мест и событий являются вымышленными и не предполагают какой-либо связи с реально существующими компаниями, организациями, продуктами, доменными именами, адресами электронной почты, логотипами, людьми, местами или событиями. Соблюдение всех применимых авторских прав является обязанностью пользователя. Воспроизведение, сохранение или размещение любых частей документа в информационно-поисковых системах, а также передача этих частей в любой форме и любым способом, электронным, механическим, путем фотокопирования, записи или иными методами, без официального письменного уведомления корпорации Майкрософт запрещается.

На материалы, содержащиеся в документе, может распространяться действие патентов, заявок на патенты, товарных знаков или других прав на интеллектуальную собственность корпорации Майкрософт. Документ не дает никаких разрешений на использование патентов, товарных знаков, авторских прав или иных форм интеллектуальной собственности, за исключением случаев, когда эти права предоставляются явным образом на основании письменного лицензионного соглашения с корпорацией Майкрософт.

© Корпорация Майкрософт, 2007. Все права защищены.

Microsoft, MS-DOS, Windows, Windows NT и Windows Server являются либо зарегистрированными товарными знаками, либо товарными знаками корпорации Майкрософт в США и/или в других странах.

Все другие товарные знаки являются собственностью их соответствующих владельцев.

Содержание

Пошаговое руководство по организации удаленного доступа по протоколу SSTP 1

Сведения об авторских правах 2

Содержание 3

Пошаговое руководство по организации удаленного доступа по протоколу SSTP 5

Протокол SSTP 5

Создание лаборатории тестирования VPN-подключений по протоколу SSTP 8

Настройка компьютера DC1 8

Настройка компьютера VPN1 13

Настройка компьютера CLIENT1 29

Имитация ошибки подключения по протоколу PPTP 32

Настройка SSTP-подключения 37

Дополнительные источники 42

Пошаговое руководство по организации удаленного доступа по протоколу SSTP

В настоящем руководстве предлагаются подробные инструкции по созданию лаборатории тестирования на основе трех компьютеров, а также по настройке и тестированию удаленного доступа через виртуальную частную сеть (VPN) под управлением ОС Windows Server® 2008 и Windows Vista® с пакетом обновления 1 (SP1). Эти инструкции описывают поэтапный процесс настройки SSTP-соединения.

Примечание

Нижеследующие инструкции позволяют сформировать лабораторию тестирования с ограниченным числом компьютеров минимальными усилиями. Чтобы сократить время настройки и упростить этот процесс, службы не распределяются по отдельным компьютерам, что позволило бы повысить степень защиты, а совмещаются на сетевых серверах. Такая конфигурация не является рекомендуемой для внедрения в действующей сети. Эта конфигурация, не исключая IP-адреса и все прочие параметры, предназначена исключительно для работы в изолированной сети лаборатории тестирования.

ПО Virtual PC или виртуальный сервер

ПО Microsoft Virtual PC и виртуальные серверы помогают сформировать лабораторию тестирования, которая описывается в настоящем документе, ограничив количество участвующих компьютеров двумя или даже одним. Настроив виртуальную лабораторию, вы сможете перемещаться между тремя виртуальными компьютерами одним щелчком мыши. Подробные инструкции см. в следующих материалах.

     Сведения о продукте Virtual PC 2007 (на английском языке – http://go.microsoft.com/fwlink/?LinkId=69217).

     Сведения о виртуальном сервере (на английском языке – /fwlink/?LinkId=69220).

     «Больше задач, меньше усилий» – сведения о продукте Virtual Server 2005 (на английском языке – /fwlink/?LinkId=69221).

     Веб-трансляция TechNet «Virtual Server 2005 – формирование среды тестирования и разработки (уровень 200)» (на английском языке – /fwlink/?LinkId=69222).

Протокол SSTP

Протокол SSTP (Secure Socket Tunneling Protocol) – это новая разновидность VPN-туннеля, позволяющая передавать данные через брандмауэры, которые блокируют трафик протоколов PPTP и L2TP/IPsec. В протоколе SSTP предусмотрен механизм инкапсуляции трафика PPP через канал SSL протокола HTTPS. Применение протокола PPP, в свою очередь, делает возможной поддержку методов строгой проверки подлинности – в частности, EAP-TLS. Протокол HTTPS пропускает данные через порт TCP 443 – стандартный порт веб-доступа. Наконец, протокол SSL (Secure Sockets Layer) обеспечивает защиту на транспортном уровне, а также широкие возможности согласования ключей, шифрования и проверки целостности.

Процесс VPN-подключения по протоколу SSTP

Ниже описывается поток данных VPN-подключения по протоколу SSTP.

Когда пользователь компьютера, работающего под управлением ОС Windows Server 2008 или Windows Vista с пакетом обновления 1 (SP1), инициирует VPN-подключение по протоколу SSTP, выполняется следующая последовательность операций.

    1. SSTP-клиент устанавливает TCP-соединение с SSTP-сервером между TCP-портом SSTP-клиента, назначенным динамически, и TCP-портом 443 SSTP-сервера.

    2. SSTP-клиент отправляет приветствие (SSL Client-Hello), обозначая свое намерение установить сеанс SSL с SSTP-сервером.

    3. SSTP-сервер отправляет SSTP-клиенту свой сертификат компьютера.

    4. SSTP-клиент проводит проверку сертификата компьютера, определяет метод шифрования для предстоящего сеанса SSL, генерирует ключ сеанса SSL и зашифровывает его с помощью открытого ключа сертификата SSTP-сервера. После этого зашифрованный ключ сеанса SSL отправляется SSTP-серверу.

    5. SSTP-сервер расшифровывает ключ сеанса SSL при помощи закрытого ключа своего сертификата компьютера. Все последующие данные, которыми SSTP-клиент будет обмениваться с SSTP-сервером, подлежат шифрованию согласованным методом и с применением ключа сеанса SSL.

    6. SSTP-клиент отправляет SSTP-серверу запрос по протоколу HTTP через SSL.

    7. SSTP-клиент согласовывает с SSTP-сервером SSTP-туннель.

    8. SSTP-клиент согласовывает с SSTP-сервером PPP-соединение. В рамках согласования производится проверка подлинности учетных данных пользователей методом PPP, а также настраиваются параметры трафика по протоколу IP версии 4 (IPv4) или 6 (IPv6).

    9. SSTP-клиент приступает к передаче трафика IPv4 или IPv6 по каналу PPP.

Рисунок 1. Архитектура SSTP на уровне протоколов.

Канальный уровень



Создание лаборатории тестирования VPN-подключений по протоколу SSTP

В рамках лаборатории тестирования VPN-подключений сеть состоит из трех компьютеров, которые выполняют нижеперечисленные роли.

    канальный уровень

    Сервер DC1, работающий под управлением ОС Windows Server 2008, исполняет роли контроллера домена, DNS-сервера и файлового сервера в частной сети (интрасети).

     Сервер маршрутизации и удаленного доступа под именем VPN1, работающий под управлением ОС Windows Server 2008, действует в качестве VPN-сервера. Кроме того, на сервере VPN1 установлены службы сертификации Active Directory и службы IIS. Они обеспечивают возможность подачи заявок на сертификат компьютера через Интернет, что необходимо для организации VPN-подключений по протоколу SSTP. Наконец, на сервере VPN1 установлено два сетевых адаптера.

     Клиентский компьютер CLIENT1, работающий под управлением ОС Windows Vista с пакетом обновления 1 (SP1) и исполняющий роль VPN-клиента в общедоступной сети (Интернете).

Конфигурация лаборатории тестирования VPN-подключений изображена на следующей схеме.

Рисунок 2. Конфигурация лаборатории тестирования подключений по протоколу SSTP.

Интернет

Настройка компьютера DC1

Компьютер DC1, работающий под управлением ОС Windows Server 2008, исполняет следующие роли:

     контроллер домена службы каталогов Active Directory®;

     DNS-сервер домена ;

     файловый сервер.

Процесс настройки компьютера DC1 состоит из нескольких этапов:

     установка операционной системы;

     настройка протокола TCP/IP;

     установка служб Active Directory и DNS;

     создание учетной записи пользователя и присвоение ей прав удаленного доступа;

     создание общей папки и файла.

В нижеследующих подразделах эти операции описаны подробнее.

Установка операционной системы

Установка ОС Windows Server 2008

    1. Запустите компьютер DC1 с установочного диска ОС Windows Server 2008.

    2. Следуйте инструкциям на экране. При появлении запроса на ввод пароля введите P@ssword.

Настройка протокола TCP/IP

Необходимо настроить следующие свойства протокола TCP/IP на компьютере DC1: IP-адрес 192.168.0.1, маску подсети 255.255.255.0 и основной шлюз 192.168.0.2.

Настройка свойств протокола TCP/IP

    1. В секции Provide Computer Information (предоставить сведения о компьютере) окна Initial Configuration Tasks (задачи начальной настройки) на компьютере DC1 щелкните ссылку Configure networking (настроить сеть).

Примечание

Если окно Initial Configuration Tasks не было открыто ранее, откройте его. Для этого выберите Start (пуск), Run (выполнить), введите в текстовом поле oobe и нажмите кнопку OK.

Рисунок 3. Окно Initial Configuration Tasks.

    2. В окне Network Connections (сетевые подключения) щелкните правой кнопкой мыши запись Local Area Connection (подключение по локальной сети) и выберите пункт Properties (свойства).

    3. Во вкладке Networking (сеть) выберите запись Internet Protocol Version 4 (TCP/IPv4) (протокол Интернета версии 4 (TCP/IPv4)) и нажмите кнопку Properties.

    4. Установите переключатель в положение Use the following IP address (использовать следующий IP-адрес). Укажите IP-адрес 192.168.0.1, маску подсети 255.255.255.0, основной шлюз 192.168.0.2 и предпочитаемый DNS-сервер 192.168.0.1.

    5. Последовательно нажмите кнопки ОК и Close (закрыть).

Установка служб Active Directory и DNS

Компьютер следует назначить контроллером домена . Он будет первым и единственным контроллером домена в сети.

Настройка компьютера DC1 в роли контроллера домена

    1. В секции Provide Computer Information окна Initial Configuration Tasks на компьютере DC1 щелкните ссылку Provide computer name and domain (указать имя компьютера и домен).

Примечание

Если окно Initial Configuration Tasks не было открыто ранее, откройте его. Для этого выберите Start, Run, введите в текстовом поле oobe и нажмите кнопку OK.

    2. Во вкладке Computer Name (имя компьютера) диалогового окна System Properties (свойства системы) нажмите кнопку Change (изменить).

    3. Присвоив компьютеру имя DC1, нажмите кнопку OK.

    4. Нажмите кнопку OK в диалоговом окне Computer Name/Domain Changes (изменение имени компьютера или домена).

    5. Последовательно нажмите кнопки Close и Restart Now (перезагрузить сейчас).

    6. После перезапуска сервера щелкните ссылку Add roles (добавить роли) в секции Customize This Server (настроить этот сервер) окна Initial Configuration Tasks.

    7. На странице Before You Begin (перед началом работы) диалогового окна Add Roles Wizard (мастер добавления ролей) нажмите кнопку Next (далее).

    8. Установите флажок Active Directory Domain Services (доменные службы Active Directory) и нажмите кнопку Next.

    9. При появлении диалогового окна Active Directory Domain Services нажмите кнопку Next.

    10. В диалоговом окне Confirm Installation Selections (подтвердите выбранные элементы) нажмите кнопку Install (установить).

    11. В диалоговом окне Installation Results (результаты установки) нажмите кнопку Close.

    12. Нажмите кнопку Start и выберите Run. Введите команду dcpromo в поле Open (открыть) и нажмите кнопку OK.

    13. На странице Welcome to the Active Directory Domain Services Installation Wizard (мастер установки Active Directory) нажмите кнопку Next.

    14. Установив параметр Create a new domain in a new forest (создать новый домен в новом лесу), нажмите кнопку Next.

    15. Введите имя в поле FQDN of the forest root domain (полное доменное имя корневого домена леса) и нажмите кнопку Next.

    16. Выбрав в списке Forest functional level (режим работы леса) пункт Windows Server 2003, нажмите кнопку Next.

    17. Чтобы подтвердить режим работы леса Windows Server 2003, нажмите кнопку Next.

    18. Чтобы установить DNS server (DNS-сервер) в качестве дополнительного свойства контроллера домена, нажмите кнопку Next.

    19. Установите параметр Yes, the computer will use a dynamically assigned IP address (not recommended) (да, компьютер будет использовать динамически назначаемый IP-адрес (не рекомендуется)).

    20. Нажмите кнопку Yes (да) в диалоговом окне подтверждения.

    21. Чтобы согласиться с предложенным по умолчанию размещением папок, нажмите кнопку Next.

    22. Введите пароль в поле Directory Services Restore Mode Administrator Password (пароль администратора для режима восстановления служб каталогов) и нажмите кнопку Next.

    23. Нажмите кнопку Next.

    24. Мастер Active Directory Domain Services Installation Wizard приступит к настройке службы Active Directory. По завершении настройки последовательно нажмите кнопки Finish (готово) и Restart Now.

Создание учетной записи пользователя и присвоение ей прав удаленного доступа

Теперь необходимо создать учетную запись пользователя и присвоить ей права удаленного доступа.

Создание учетной записи пользователя в службе Active Directory и присвоение ей прав

    1. На компьютере DC1 нажмите кнопку Start, а затем выберите Administrative Tools (администрирование) и Active Directory Users and Computers (Active Directory – пользователи и компьютеры).

    2. Раскройте узел в дереве консоли, находящемся в левой части окна, щелкните правой кнопкой мыши запись Users (пользователи), затем выберите New (создать) и User (пользователь).

    3. Введите user1 в полях Full name (полное имя) и User logon name (имя входа пользователя).

    4. Нажмите кнопку Next.

    5. Введите P@ssword в полях Password (пароль) и Confirm password (подтверждение).

    6. Снимите флажок User must change password at next logon (требовать смену пароля при следующем входе в систему), а затем установите флажки User cannot change password (запретить смену пароля пользователями) и Password never expires (срок действия пароля не ограничен).

    7. Последовательно нажмите кнопки Next и Finish.

Чтобы предоставить права удаленного доступа пользователю user1, выполните следующие действия:

    1. Щелкните узел Users в дереве консоли в левой части окна. В области сведений щелкните правой кнопкой мыши запись user1 и выберите пункт Properties.

    2. В секции Network Access Permission (права доступа к сети) вкладки Dial-in (удаленный доступ) установите параметр Allow access (разрешить доступ) и нажмите кнопку OK.

Примечание

В рабочей среде политики удаленного доступа настраиваются и вводятся в действие посредством сервера сетевых политик (NPS).

    3. Закройте консоль оснастки Active Directory Users and Computers.

Создание общей папки и файла

Компьютер DC1 исполняет роль файлового сервера, который после настройки методов доступа и проверки подлинности должен быть доступен для удаленного пользователя.

Создание общей папки и файла

    1. На компьютере DC1 нажмите кнопку Start и выберите пункт Computer (компьютер).

    2. Дважды щелкните запись Local Disk (C:) (локальный диск (C:)).

    3. Щелкните правой кнопкой мыши в незаполненном пространстве проводника, а затем последовательно выберите команды New и Folder (папка).

    4. Назовите новую папку CorpData.

    5. Щелкните папку CorpData правой кнопкой мыши и выберите пункт Share (общий доступ).

    6. Введите строку domain users и нажмите кнопку Add (добавить).

    7. Выберите группу Domain Users (пользователи домена) и установите уровень разрешений Contributor (участник).

    8. Последовательно выберите Share и Done (готово).

    9. Дважды щелкните папку CorpData. Затем, после её открытия, щелкните правой кнопкой в незаполненном пространстве проводника, выберите команды New и Text Document (текстовый документ).

    10. Назовите новый документ VPNTest.

    11. Откройте документ VPNTest и введите произвольный текст.

    12. Сохраните и закройте документ VPNTest.



Скачать документ

Похожие документы:

  1. Проект Документации Freebsd   руководство

    Руководство
    Добро пожаловать в FreeBSD! Это Руководство охватывает процесс установки и ежедневного использования FreeBSD 4.10-RELEASE и FreeBSD 5.2.1-RELEASE. Это руководство находится в процессе разработки и являет собой результат работы множества людей.
  2. Не предназначены для 100%-го удаления всего, что было привнесено в систему при установке программы, но нередко специально оставляют свои следы в ос пользователя

    Документ
    Всякий пользователь, хоть чуть-чуть интересующийся тем, что происходит с его компьютером, наверняка заметил, что процесс установки и удаления программ приводит к появлению самого разного мусора на диске и в реестре Windows — штатные
  3. Список экзаменационных вопросов по дисциплине

    Документ
    Лока́льная вычисли́тельная сеть (ЛВС, локальная сеть, сленг. локалка; англ. Local Area Network, LAN) — компьютерная сеть, покрывающая обычно относительно небольшую территорию или небольшую группу зданий (дом, офис, фирму, институт).
  4. Стислий конспект лекцій з дисципліни "Телекомунікаційні та інформаційні мережі" (тім) (програма бакалаврського мінімуму) Лектор доц. В.І. Тіхонов

    Конспект
    - Экзамен сдается письменно; в билете 5 вопросов среди 10 базовых дисциплин специальности; при этом один из пяти вопросов билета – обязательно по TIM.
  5. Вопрос №3 Принципы проектирования информационного обеспечения программного комплекса

    Документ
    Системный подход при проектировании представляет собой комплексное, взаимосвязанное, пропорциональное рассмотрение всех факторов, путей и методов решения сложной многофакторной и многовариантной задачи проектирования интерфейса взаимодействия.

Другие похожие документы..