议封装

的数据包

;WEB PROXY

是不支持

PPTP

协议的。

L2TP OVER IPSEC

的情况和此类似，需要在防火墙上充许

IKE

数据和

ESP

封装的数据同时通过，

否则也会出现连接问题。且

WEB PROXY

也是不支持

L2TP OVER IPSEC

协议的。

SSTP

的执行过程

上面简要介绍了

< br>SSTP

协议的优势以及

PPTP

等之前两种协议的不足，

下面就来说下

XP WITH SP3

或是

VISTA WITH SP1

等客户端是如何连接到

WINDOWS 2008 SSL(SSTP)VPN

服务器的：

1

、

SSTP VPN

客户端以随机的

TCP

端口建立

TCP

连接至

SSTP VPN

服务 器

(

常常是

SSTP VPN

网

关服务器

)

上的< /p>

TCP 443

端口。

2

、

SSTP VPN

客户端发送一个

SSL “Client

-

Hello”

消息给

SST P VPN

服务器，表明想与此建立一个

SSL

会话。

3

、

SSTP VPN

服务器发送

“

其机器证书

”< /p>

至

SSTP VPN

客户端。

4

、

SSTP VPN

客户端验证机器证书，决定

SSL

会话的加密方法，并 产生一个以

SSTP VPN

服务器

公 钥加密的

SSL

会话密钥，然后发送给

SSTP VPN

服务器。

5

、

SSTP VPN

服务器使用此机器证书私钥来解密收到的加密的

SSL

会话，之后两者之间所有的通

讯都以协商的加密方法和

SSL

会话密钥进行加密。

6

、

SSTP VPN

客户端发送一个基于

SSL

的

HTTP(HTTPS)

请求至

SSTP VPN

服务器。

7

、

SSTP VPN

客户端与

SSTP VPN

服务 器协商

SSTP

隧道。

8

、

SSTP VPN

客户端与

SSTP VPN

服务 器协商包含

“

使用

PPP

验证方法验

(

或

EAP

验证方法

)

证使用

者证书以及进行

IPV4

或

IPV6< /p>

通讯

”

的

PPP

连接。

9

、

SSTP VPN

客户端开始发送基于

PPP

连接的

IPV4

或

IPV6

通讯流量

(

数据

)

。

以上一段话，引自互联网

作者：下里巴人

我们再来看这个环境：

一、配 置第一台机器，机器名为

DC

：

1.

配置

DC

的

ip

地 址：

2.

提升域控：

域功能级别，林功能级别设置为

20 03,

具体过程：

没设置

IPV6

地址，会弹如下窗口，按

2< /p>

次

“

是

”

继续。

默认向导直到安装完成，重启。

3.< /p>

创建允许

VPN

拔入用户帐号，创建验证 时用的共享文件夹。共享文件夹内放一文本。

二、配置第二台机器，机器名为

VPNsrv

1.

配置

IP

地址

:

2.

把机器加入域：

加域前

n slookup

看是否能解释域名，确保加域成功。

重启：

3.

安装证书服务和

IIS

。

以域管理员用户登录安装。

选择

ADCS

角色，

选择安装证书颁发机构

WEB

注册，点 击添加必要的角色服务

我这里用独立根

CA

，当然企业根

CA

也可以。

配置证 书公用名称，配置

iis

，按默认向导致完成

< br>.

4.

创建 服务器身份验证证书，这步骤前先设置

IE

允许证书发布。

打开服务器管理器，配置

IE SEC:

以管理员身份运行

IE

，

关闭自动网站检查，

设置

intranet

安全级别，低

5.

创建一个服务器身份验证证书。

IE

中输 入：

http://localhost/certsrv

，点 击申请证书

高级证书申请

创建并向此

CA

提交一个申请

如下：

注意名称要为：

VPNserver

的

FQDN