首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

邮件网络安全

系统安全 | 邮件软件漏洞 | 攻防技术 | 安全基础 | 病毒公告 | 病毒查杀 | Forefront/TMG/ISA | 防火墙 | 数字签名 |
首页 > 邮件网络安全 > Forefront/TMG/ISA SERVER > 使用分支办公室 VPN 连接向导配置分支办公室与企业总部之间的连接 > 正文

使用分支办公室 VPN 连接向导配置分支办公室与企业总部之间的连接

出处:ISA中文站 作者:风间子 时间:2006-10-19 23:33:00

对于企业中具有分支办公室的 IT 管理员来说,分支办公室和企业总部之间的连接是一个比较棘手的问题。目前大部分企业都是通过站点到站点 VPN 连接来实现分支办公室和企业总部的连接,ISA Server 以其强大的功能 、卓越的性能和人性化的配置界面,在站点到站点 VPN 连接部署中得到了极其广泛的应用。

最为困扰 IT 管理员的,不是选择什么连接方式,而是针对连接的管理。分支办公室中通常没有专门的 IT 管理员来管理网络连接,因此通常都是由企业总部的 IT 管理员 进行管理。通常情况下,IT 管理员在企业中部署 ISA Server 企业版,然后将分支办公室中的 ISA Server 连接到企业总部的配置存储服务器,从而接受企业总部 IT 管理员的集中管理。

现在的问题就变成了如何将分支办公室的 ISA Server 连接到企业总部的配置存储服务器。通常情况下,具有以下两种办法:

  1. 对外部网络(Internet)发布企业总部中的配置存储服务器,分支办公室中的 ISA Server 直接通过外部网络(Internet)访问企业总部中的配置存储服务器;

  2. 在分支办公室和企业总部之间创建站点到站点 VPN 连接,然后分支办公室中的 ISA Server 通过站点到站点 VPN 连接访问企业总部中的配置存储服务器;

由于第二种方式具有更低的安全风险,因此在企业网络中大量采用。但是此时又遇到一个先有鸡还是先有蛋的问题:如果没有安装 ISA Server ,就不能通过 ISA Server 建立站点到站点 VPN 连接;但是如果没有建立站点到站点 VPN 连接,就不能 正确安装 ISA Server ,该怎么办呢?

迫于无奈,许多企业的 IT 管理员只好先采用第一种方式,然后配置好站点到站点 VPN 后修改为第二种方式,或者直接在分支办公室中部署一台配置存储服务器 ,然后配置分支办公室中的 ISA Server 使用本地的配置存储服务器。当然,这都增加了 IT 管理成本。

微软 ISA Server 开发组敏锐的发现了这个问题。于是在 ISA Server 2006 企业版中增加了两个组件:分支办公室 VPN 连接向导应答文件创建向导应答文件创建向导允许企业总部的 IT 管理员根据某个分支办公室的远程站点创建一个应答文件,分支办公室 VPN 连接向导则可以根据此应答文件在对应的分支办公室的 ISA Server 计算机上进行以下操作:

  1. 创建和企业总部的站点到站点 VPN 连接;

  2. 加入企业总部中的域(可选,需要重启计算机);

  3. 将原本为使用本地配置存储服务器的 ISA Server 迁移到使用企业总部中的配置存储服务器 (可选);

  4. 卸载位于本地 ISA Server 计算机上的配置存储服务器 (和第3步一起进行,不可选)。

当分支办公室 VPN 连接向导完成操作后,分支办公室中的 ISA Server 通过站点到站点 VPN 连接到企业总部的配置存储服务器,从而可以接受企业总部 IT 管理员的集中管理。由于通过应答文件,这个过程基本是“零配置”;一切设置都可以从应答文件中读取,而不需要 人工交互。当然,这也并不是那么简单,你还需要完成其他的准备,比如需要预先在企业总部的 ISA Server 上创建站点到站点 VPN 连接、安装证书(如果身份验证需要)、正确配置分支办公室中的 ISA Server 以确保可以解析活动目录服务及配置存储服务器的域名等等。

这篇文章的试验网络结构如下图所示,企业总部网络的 IP 地址范围为 10.1.1.0/24 ,内部域为 ISACN.ORGSeattle 是域控制器; Boston 加入域 ISACN.ORG ,安装了 ISA Server 2006 企业版( ISA Server + CSS),作为边缘防火墙连接到 Internet ;分支办公室网络的 IP 地址范围为 10.2.1.0/24Hawaii 位于工作组环境,安装了 ISA Server 2006 企业版( ISA Server + CSS),作为边缘防火墙连接到 Internet 。在这个试验中,我将通过分支办公室 VPN 连接向导将 Hawaii 迁移到使用企业总部网络中的配置存储服务器(Boston),从而接受企业总部 IT 管理员的集中管理。

各计算机的 TCP/IP 配置如下所示:

Seattle.isacn.org(ISACN.ORG DC):

  • IP:10.1.1.8/24

  • DG:10.1.1.1

  • DNS:10.1.1.8

Boston.isacn.org(ISA Server + CSS):

外部网络接口:

  • IP:61.139.1.1/24

  • DG:61.139.1.1

  • DNS:None

内部网络接口:

  • IP:10.1.1.1/24

  • DG:None

  • DNS:10.1.1.8

 

Hawaii(ISA Server + CSS):

外部网络接口:

  • IP:61.139.1.2/24

  • DG:61.139.1.2

  • DNS:None

内部网络接口:

  • IP:10.2.1.1/24

  • DG:None

  • DNS:10.1.1.8

 

可能大家很奇怪,为什么 Hawaii 上的 DNS 服务器设置为企业总部网络中的 DC Seattle ?这是为以后做准备,在加入域及连接到配置存储服务器时,需要保证能够正确的解析域名,因此需要为 Hawaii 正确的配置 DNS 服务器。

这篇文章的试验步骤如下:

  • 在企业总部的 ISA Server 上创建到分支办公室的远程站点;

  • 在企业总部上使用应答文件创建向导根据到分支机构的远程站点创建应答文件;

  • 在分支办公室的 ISA Server 上使用分支办公室 VPN 连接向导通过应答文件完成迁移操作;

将在企业总部 ISA Server 上创建一个到达分支办公室的基于共享密钥的 L2TP/IPSec 模式的站点到站点连接。在 Boston 上运行 ISA Server 管理控制台,然后点击虚拟专用网络节点,在中部细节面板中点击远程站点标签,然后点击右部任务面板中的创建站点到站点VPN连接链接;

在弹出的欢迎使用站点到站点连接向导页,输入远程站点名字,在此我为到分公司的远程站点命名为 Branch ,完成后点击下一步

VPN协议页,由于从安全考虑,分支办公室 VPN 连接向导只支持 L2TP/IPSec IPSec Tunnel 这两种模式的站点到站点连接,因此在此我选择 L2TP over IPSec ,点击下一步

在弹出的警告对话框上,向导提醒你必须具有一个匹配网络名的用户名以允许远程站点的拨入,点击确定,我将在后面创建此用户;

由于我尚未配置远程访问 VPN 属性,因此向导预先让我配置远程访问 VPN 属性,在本地网络 VPN 设置页,我选择使用静态 IP 地址池为远程访问 VPN 客户分配 IP 地址,点击添加按钮输入使用的静态 IP 地址范围,然后点击下一步

连接所有者页,接受默认的选择 BOSTON ,点击下一步

远程站点网关页,输入远程 VPN 网关的 域名或 IP 地址,如果输入域名,确保可以正确解析(对于动态 IP 地址的情况,在此可以输入动态域名),在此我们输入 Hawaii 的外部IP地址 61.139.1.2 ,点击下一步

远程身份验证页,勾选本地站点可以使用这些凭据来初始化到远程站点的连接(这样可以让内部用户进行请求拨号来主动连接远程VPN站点),然后输入远程 VPN 网关上创建的具有拨号权限的对应于远程站点的用户名和密码,注意,这个用户名必须和远程 VPN 网关上创建的远程站点的名字相同。输入用户名 HeadQuarter 和对应的密码,这个用户可以通过应答文件自动在分支办公室的 ISA Server 上创建,点击下一步

L2TP/IPSec 出站身份验证页,指定出站 L2TP/IPSec 连接所使用的身份验证方式,在此我选择预共享密钥身份验证,然后输入共享密钥,完成后点击下一步

L2TP/IPSec 入站身份验证页,指定入站 L2TP/IPSec 连接所使用的身份验证方式,在此我选择允许为入站 L2TP 连接使用预共享密钥身份验证,然后输入共享密钥,完成后点击下一步


网络地址页,点击添加范围来添加远程网络的IP地址范围,在此我输入分公司的网络地址范围10.2.1.010.2.1.255,点击下一步

远程NLB页,由于分公司网络并未使用NLB,因此直接点击下一步

站点到站点网络规则页,默认情况下向导将为远程站点和内部网络之间创建一个路由关系为路由的网络规则。你可以修改目的网络,但不能修改网络关系;如果需要修改路由关系为 NAT,则只能手动创建网络规则或自动创建后再修改。在此我接受默认设置,点击下一步

站点到站点访问规则页,在此可以为远程站点和内部网络的互访自动创建访问规则,在此我选择允许所有出站协议,这样将创建一个访问规则,允许内部和远程站点之间所有协议的互访,从而可以允许分支办公室网络访问企业总部网络中的域控制器,完成后点击下一步

正在完成新建VPN站点到站点网络向导页,点击完成

此时向导会提示你需要创建一个具有远程拨入权限并且和远程站点名字匹配的用户,点击确定

为了让分支办公室的 ISA Server 访问位于 Boston 上的配置存储服务器,我创建了一个规则,允许到本地主机的配置存储服务器的访问,如下图所示;然后在 ISA Server 管理控制台中点击应用保存修改并更新防火墙策略,等待阵列服务器完成配置同步。

然后我在 Boston 上创建和远程站点所对应的用户 Branch ,并授予远程拨入权限,此时企业总部中的配置就完成了。

 

现在我们来创建应答文件,其实创建应答文件的过程很简单,大家只需要从分支办公室的角度上进行设置即可。

在 ISA Server 管理控制台中点击虚拟专用网络(VPN),在中部细节面板中点击远程站点,然后在右部的任务面板中点击底部相关任务中的为远程VPN站点创建应答文件

在弹出的欢迎使用创建应答文件向导页点击下一步

应答文件细节页,输入保存应答文件的路径,然后点击下一步

连接类型页,向导根据远程站点类型自动进行了选择,点击下一步

阵列服务器部署页,选择这是阵列中部署的第一个服务器,如果已经安装了其他阵列服务器,那么需要注意创建访问规则以允许新的阵列服务器的访问,点击下一步

本地站点到站点身份验证页,在网络名栏输入将要在分支办公室 ISA Server 上创建的远程站点名,在创建远程站点时将同时创建用于拨入的同名用户账户,然后在下面输入并确认用户账户的密码,这密码必须和前面企业总部 ISA Server 上的远程站点中的配置相同,完成后点击下一步

指定远程站点 VPN IP 地址页,向导已经自动加入了远程 VPN 网络的 IP 地址范围,在下部的远程 VPN 服务器栏输入远程 VPN 服务器的 IP 地址 61.139.1.1 (从分支办公室的角度考虑),完成后点击下一步

本地网络VPN设置页,我选择使用静态IP地址池为远程访问VPN客户分配IP地址,点击添加按钮输入使用的静态IP地址范围,然后点击下一步

 

远程身份验证页,输入用户名 Branch 和对应的密码,这个用户我们已经在 Boston 上创建,点击下一步

IPSec 身份验证页,选择预共享密钥身份验证,然后输入共享密钥,完成后点击下一步

加入远程域页,选择加入域,然后输入域 isacn.org ,点击下一步

在弹出的密码提示框中输入具有加入计算机到域权限的用户名和密码,点击确定

定位配置存储服务器页,默认使用的配置存储服务器为当前使用的配置存储服务器,然后选择使用此用户连接,输入具有连接到配置存储服务器权限的用户和密码,点击下一步

安全发布的配置存储服务器页,在此我并不使用发布的配置存储服务器,因此直接点击下一步

阵列成员关系页,选择创建一个新的阵列,点击下一步

创建新阵列页,输入新阵列的相关信息,点击下一步

配置存储服务器身份验证选项页,接受默认的 Windows 身份验证,点击下一步

正在完成应答文件创建向导页,点击完成,此时应答文件就创建好了。


接下来我们需要将应答文件传送到分支办公室,当然, 可以采用的方式很多,比如使用邮件传送等等。

分支办公室 VPN 连接向导并没有快捷方式,需要手动运行,它的路径为 ISA_Install_Path\AppCfgWzd.exe 。运行后在弹出的欢迎使用 ISA Server 分支办公室 VPN 连接向导页,点击下一步

配置设置源页,选择从文件,向导会自动搜索可移动磁盘 根目录、%systemdrive%(通常为“c:\”)或 %systemdrive%\ISAAnswerFiles(通常为“c:\ISAAnswerFiles”) 目录中的 ISAUsrConfig.inf ;或者你手动选择对应的文件,然后点击下一步

向导会读取应答文件中的设置,默认情况下应答文件中的应答模式为 FullUI,在这种模式下,你可以看到所有的设置并根据需要进行修改;你也可以修改应答模式为 BasicUI ,此时 向导按照应答文件中的设置直接进行处理,而无需任何人工交互操作,具体的设置可以参考文章结尾的应答文件实例。

接下来的操作基本就是点击下一步了,由于前面已经介绍过了,我就不一一进行详细描述了:

此时,站点到站点 VPN 连接的参数配置已经完成,向导将在分支办公室的 ISA Server Hawaii 上进行以下操作:

  1. 创建到企业总部的远程站点;

  2. 创建和远程站点对应的拨入用户账户;

  3. 保存修改并更新防火墙策略

  4. 建立和企业总部的站点到站点 VPN 连接;


 

到企业总部的站点到站点 VPN 连接成功后,向导继续进行操作,同样,我们基本上只需要点击下一步

向导提示你加入域需要重启计算机,点击确定

然后在弹出的密码提示框上点击确定;此时向导在完成加入域操作后,会自动重启计算机;

计算机启动后,以刚才的用户登录计算机,分支办公室 VPN 连接向导会自动恢复运行,接下来我们的操作又基本上只是点击下一步


 

在配置完相关参数后,此时向导将进行以下操作:

  1. 在配置存储服务器 Boston 上创建新阵列;

  2. 将分支办公室的 ISA Server Hawaii 从本地的配置存储服务器迁移到配置存储服务器 Boston ,并加入到新阵列;

  3. 卸载 Hawaii 上的本地配置存储服务器;

操作过程如下图所示:

操作全部完成后,在正在完成设置安装向导页,点击完成

 

Hawaii 上的 ISA Server 安装向导中可以看出,本地的配置存储服务器组件已经被成功卸载;

Hawaii 上 ISA Server 管理控制台如下图所示,可以看出企业中拥有两个阵列;

而企业总部中的 ISA Server 管理控制台如下图所示,此时,企业总部的 IT 管理员即可对分支办公室的 ISA Server 进行集中管理。


 

在实际的使用中,可能更多的是使用分支办公室 VPN 连接向导在分支办公室创建到企业总部的远程站点,下面是一个本试验环境中的无人值守应答文件实例,此应答文件无需人工交互,可以自动创建一个到企业总部的远程站点而不进行其他操作:

%systemdrive%\ISAAnswerFiles\ISAUsrConfig.inf

----------------------------------------------------

[Parameters]
UnattendedMode=BasicUI
IsRebootRequired=False
VpnProtocol=L2TP
RemoteSiteNetworkName=HeadQuarter
S2SNetIpRanges=10.1.1.0-10.1.1.255
S2SUserName=Branch
VPNAuthenticationType=PresharedKey
PresharedKey=password
ConnectionType=VPN
VpnLocalUserPassword=password
RemoteSiteIpOrName=61.139.1.1
AddressAssignmentType=StaticPool
StaticAddressPool=172.16.2.1-172.16.2.254
S2SUserDomain=Boston
S2SUserPassword=password
----------------------------------------------------

 

 

 

而下面这个是本试验环境中的无人值守应答文件实例,此应答文件无需人工交互,可以自动进行本篇文章中所进行的分支办公室 ISA Server 迁移操作,而无需人工交互(其实我仅仅在创建的应答文件中加入了一行:UnattendedMode=BasicUI ):

%systemdrive%\ISAAnswerFiles\ISAUsrConfig.inf

-------------------------------------------------------------------------

[Parameters]
UnattendedMode=BasicUI
IsRebootRequired=False
VpnProtocol=L2TP
RemoteSiteNetworkName=HeadQuarter
S2SNetIpRanges=10.1.1.0-10.1.1.255, 10.255.255.255
S2SUserName=Branch
VPNAuthenticationType=PresharedKey
PresharedKey=password
STORAGESERVER_COMPUTERNAME=BOSTON.isacn.org
CreateAnswerFilePath=c:\ISAUsrConfig.inf
ConnectionType=VPN
JoiningEmptyArray=1
VpnLocalUserPassword=password
RemoteSiteIpOrName=61.139.1.1
AddressAssignmentType=StaticPool
StaticAddressPool=172.16.2.1-172.16.2.254
S2SUserDomain=Boston
S2SUserPassword=password
JoinDomainAction=JoinDomain
JoinDomainName=isacn.org
JoinDomain_UserAccount=isacn\administrator
JoinDomain_Password=password
STORAGESERVER_CONNECT_ACCOUNT=isacn\administrator
STORAGESERVER_CONNECT_PWD=password
PublishedCssRootCACertPath=
VpnBackupCssName=
ARRAY_MODE=New
ARRAY_NAME=BRANCH
ARRAY_DESCR=
ARRAY_DNS_NAME=hawaii.isacn.org
ARRAY_AUTHENTICATIONMETHOD=Windows
CLIENT_CERTIFICATE_FULLPATH=
-------------------------------------------------------------------------

相关文章 热门文章
  • 使用Exchange Service Pack安装程序的/disasterrecovery开关
  • ISA Server发布具有Edge角色Exchange
  • ISA Server 2006 发布owa 2007 的注意事项和排错提示
  • Win2008应用之IIS 7中配置ISAPI和CGI限制
  • Win2008应用之IIS 7中ISAPI筛选器配置
  • 妙用DNS解析实现防火墙客户的重定向
  • ISA之发布Exchange OWA方法及故障分析
  • 使用ISA Server发布具有Edge角色的Exchange Server环境
  • 排除发布的SMTP服务器的故障
  • 关于在ISA Server中使用HTTP压缩的说明
  • 如何通过ISA2006防火墙发布启用了SSL的OWA
  • 双ISA 双CSS 进行NLB方案之4服务器实例
  • 使用ISA Server 2004禁止P2P软件
  • ISA安装设置全集
  • ISA 2004 Server快速安装指南
  • 图解ISA2004 Web服务器发布
  • ISA 2000实战入门之VPN的建立
  • ISA Server 2004完全上手指南
  • MS Proxy 2.0 使用教程
  • 使用ISA Server 2004防火墙发布位于公共DMZ网段的服务..
  • 通过ISA防火墙(2004)来允许域内通信
  • 使用ISA 2004发布内部的邮件服务器
  • 在ISA Server 2004防火墙和D-link DI-804HV IPSec VP...
  • ISA常见问题解答
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号