Windows 2008實戰:客戶端配置

　　同時，我們強烈建議對企業根CA不了解的朋友，在網絡上找相關資料加深了解。學會使用GOOGLE是一個不錯的建議。

　　六、在DC上配置撥入連接賬號

　　無論WINDOWS的任何版本，在使用VPN技術時，都應當在VPN服務器創建用戶賬戶，并充許其撥入的權限。

　　WINDOWS 2008有所不同的時，用戶賬號屬性中"撥入"的"網絡訪問權限"增加了一項"通過NPS網絡策略控制訪問"。這是一個不錯的主意：通過網絡策略來充許達到策略要求的撥入賬戶訪問或有限訪問特殊的網絡(如企業內部網絡)。安全性上有很大的提升，管理上也更加方便。但NPS不是這次實驗的主要目的，而且并沒有安裝此角色服務。

　　在此場景中，用戶賬號撥入的網絡權限仍與之前WINDOWS版本的做法相同：充許訪問。

　　1、在DC機器中，依次打開--開始-管理工具-Active Directory 用戶和計算機。

　　2、展開至"用戶"節點，在右側面板中選擇administrator,右鍵屬性，在撥入-網絡訪問權限---充許訪問前面打上對勾。

　　這里需要說明的是，由于是域環境，且SSTP VPN服務器是域成員服務器，所以只需在DC上充許一個賬戶具有撥入訪問權限便可。(圖1)

　　七、在AD CA服務器上配置IIS，以使能通過HTTP連接至CRL目錄

　　基于一些原因，使用安裝向導安裝證書服務WEB站點時，會設置成需要SSL 連接至CRL目錄。從安全角度來說，看起來是一個好主意，但問題是連接至證書在線注冊申請站點的URL并不使用SSL。

　　由此，在進行接下來的操作之前，先要確認CRL目錄并不需要使用SSL 連接。

　　1、在DC機器中，依次打開--開始-管理工具-Internet信息服務(IIS)管理器

　　2、展開至"CertEnroll"節點，并選擇中間控制面板下方的"內容視圖"，這些就是CRL目錄的內容了。(圖2)

　　3、在同一窗口中，選擇"功能視圖"，并找到"SSL 設置"項，雙擊后可以看到"需求SSL"前面的按鈕是灰色的。OK，這就說明不需要SSL連接。(圖3)

　　八、在SSTP VPN客戶端設置HOSTS文件

　　在生產環境中，這一步是可以省略的，只需要在域名ISP那注冊相應域名便可以。但本場景為實驗環境，最大的區別就是在于沒有新建DNS來解析。

　　OK，在SSTP VPN客戶端，運行命令notepad c:\windows\system32\drivers\etc\hosts(注意，在保存之前應確保這個文件具有被修改的權限喲)，然后輸入：

　　166.111.8.2 sstp.contoso.com

　　166.111.8.2 win2k8dc.contoso.com(這個為域控的，可以省去)(圖4)

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]