在 VPN安全性 一文中,我曾经向您介绍了一些用以面向企业内部网络建立VPN连接的设置选项。以下是一名无法使用这些设置选项的读者所提出的问题。 来自新加坡的读者Kevin McLoughlin在来信中写道“…正在查找有关如何建立VPN连接并在初始连接与后续PDC验证过程中使用不同身份验证方式的信息。 ”
在 VPN安全性 一文中,我并未涉及这种应用场景。但首先需要声明的是,完成VPN设置工作的方式不胜枚举,然而,我却根本无法在短短一篇文章中对其进行全面介绍。在这篇专栏文章中,我将为您介绍面向Internet服务提供商(ISP)的系统登录与身份验证方式,以及如何在工作环境中与您的VPN建立连接。这里,我将以本人比较熟悉并且无处不在的CompuServe作为描述示例。在VPN端,我将采用标准Windows路由与远程访问服务器(RRAS)解决方案,有所不同的是,这次我们将把RRAS服务器安放在域作用范围以外,该服务器将独立承担所有任务并且不属于任何域的组成部分。这样一来,我们将需要使用三套完全不同的信任证书:您的域登录信任证书、您的ISP帐号以及您的VPN帐号。
首先需要完成的步骤是登录到您所使用的运行Windows XP Professional的笔记本电脑上。此时,您需要使用您的域信任证书实现身份验证,然而,由于您尚未与目标域建立物理连接,因此,您将使用存储在笔记本电脑上的缓存信息。在与公司网络建立物理连接前,您必须首先使用您的公司内部帐号登录到笔记本电脑上。由于无论是否处在工作环境中您均可获取用以实现身份验证的缓存信任证书,因此,缓存信息大大简化了系统登录方式。如图1所示,您可以像身处工作环境中一样登录到您的笔记本电脑上。
图1
在无法通过物理方式与域建立连接的情况下仍能在域中实现登录的能力被称为信任证书高速缓存。作为企业安全策略中所需避免的一种问题,这项特性可能已在您的笔记本电脑上予以关闭。在这种情况下,为在域中实现登录,您必须首先与目标域建立物理连接。这种设置方式可能会对VPN的建立以及全面身份验证方式的实现造成影响,然而,一旦当您与VPN建立连接后,将形成一个主要采用以命令方式运行机制的工作区。请与企业IT工作人员进行合作以确定适合您自身应用情况的可行性工作区。本文中,我们没有足够篇幅对以命令方式运行机制以及其它替代方式进行探讨,或许这些内容将在未来专栏文章中进行专题介绍。
当您登录到笔记本电脑后,下一步工作便是与Internet建立连接--这步工作要求您使用与域登录过程不同的信任证书通过ISP所设置的身份验证。
如需与为您提供服务的ISP建立连接,请依次执行以下操作步骤:
- 在 开始 菜单中,单击 连接到 ,并选择 显示所有连接 。
- 在 网络任务 区域内,单击 新建连接 。 新建连接向导 将被打开。
- 依次单击 下一步、连接到Internet 和 下一步 。
- 您可以选择从内建Internet服务提供商列表中指定一家ISP,使用由您的ISP所提供的安装CD,或者根据您的需要手工配置连接。如果您选择使用由ISP所提供的安装CD或从内建列表中指定的ISP,那么,从当前位置开始,您将遵循另一套操作步骤。请单击下一步。
- 为您建立的连接指定一个名称,以便轻松对其加以标识,之后再次单击 下一步 。输入访问ISP所需拨叫的电话号码。由于近期在宾馆房间中拨打电话经常遇到困难,因此,我选择了针对CompuServe的800号码。再次单击下一步。
- 确定希望该连接仅供您本人使用还是可供计算机上的所有用户使用。除非的确需要对计算机进行共享,否则,我建议您将连接设置为仅供您本人使用。如果需要,您可以随时为本地计算机上的其它用户帐号重建相应连接,但前提是您确实希望所有用户访问您的CompuServe或其它ISP帐号。再次单击下一步。
- 现在,请输入Internet帐号信息。如果该连接并非经常使用--通常情况下连接用以间接访问Internet的局域网,请清除 把它作为默认的 Internet 连接 复选框。
- 依次单击 下一步、完成 。此时, 连接 对话框将自动打开,您将可以随时与Internet建立连接。
如果您正在使用CompuServe,那么,还需完成一个额外步骤:如图2所示,您需要通过脚本方式进行注册。单击 属性 ,并在 安全 选项卡上选择 运行脚本 复选框。随后,请选择脚本文件cis.scp。
图2
[NextPage]
下一步工作是创建面向企业网络的VPN连接。这里,我将向您介绍与位于企业内部网络以外Windows RRAS服务器建立连接的操作步骤。如果您希望通过第三方VPN解决方案建立连接,那么,您可能会遇到不尽相同的连接情况。如需获取有关这方面内容的详细信息,请向公司IT团队进行咨询。
如需创建一个VPN连接,请依次执行以下操作步骤:
- 在 开始 菜单中,单击 连接到 并选择 显示所有连接 。在 网络任务 区域内,单击 新建连接 。 新建连接向导 将被打开。
- 选择 连接到我所在工作环境中的网络 ,并单击 下一步 。
- 点击 虚拟专用网络连接 ,并单击 下一步 。
- 此时,您拥有两种选项:Windows可以自动拨叫您所建立的连接或允许您手工进行拨叫。如果您使用多个针对Internet的连接,最好选择手工方式,然而,如果您始终使用相同的连接,则应允许Windows XP自动完成拨叫操作。
- 单击 下一步 ,之后输入RRAS服务器的主机名称或IP地址。如果您并不知道主机名称,请向公司IT部门取得进行咨询。再次单击 下一步 ,点击 只针对这个连接使用 。需要注意的是,您不应共享VPN连接。
- 再次点击 下一步 ,并单击 完成 以创建VPN连接。
如图3所示,一旦VPN连接创建完成后,系统将自动打开 连接 对话框。
图3
现在,您可以对上述连接的拨号选项进行设置。
- 如图4所示,在 连接 对话框中,单击 属性 按钮并选择 选项 选项卡以显示拨号选项。
图4
- 选中 包含Windows登录域 复选框,单击 确定 以返回 连接 对话框,此时,如图5所示,您将可以在 连接 对话框中看到一个用以显示域的字段。
图5
- 连接字段将显示您的常规用户名和公司所在域。您需要将其改为与公司RRAS服务器相对应的取值。相关信息可以通过咨询公司IT团队的方式获取。最终所填写的内容既可能类似于常规取值,也可能与之截然不同。据我所知,至少在一种情况下,RRAS将使用长度为15个字符的随机生成字符串作为用户名称。
- 当填写这些字段后,请在确保仅供您本人使用的前提下选择相关复选框以保存用户名及口令。单击 连接 以创建VPN连接。
VPN连接将使用与常规工作用信任证书毫无关联的第三套身份验证凭据。假设一切工作正常,您将并非真正与工作网络环境建立物理连接,而是使用构建在公共Internet基础之上的安全加密连接方式。此时,您应当能够与公司网络上的驱动器进行连接,读取公司邮箱中的电子邮件,并与您办公桌上的Windows XP Professional工作站建立连接。
如果您在工作环境中使用Windows XP Professional,并且希望本人能在某期专栏文章中讨论特定主题,请随时通过电子邮件方式( Charlie@mvps.org )与我取得联系。由于时间与条件所限,本人无法对个别电子邮件做出答复。但我衷心期待能在未来专栏文章中探讨您所提出的主题。
Charlie Russel目前是一名专门致力于探索Windows与UNIX网络整合技术的信息技术咨询顾问。同时,他还与 Sharon Crawford 共同撰写了《运行Microsoft Windows NT Server 4.0》和《Microsoft Windows 2000 Server管理员伴侣》两部著作,并与Linda Gaus合著了《SCO OpenServer:Windows网络解决方案》一书。
|