首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-VPN > ISA防火墙中的VPN客户拨入授权
现在时间是: 2018-11-15 18:54
ISA防火墙中的VPN客户拨入授权

(2005-12-18 21:58)
来源:ISA中文站

ISA防火墙中的VPN客户拨入授权

 

ISA防火墙中的VPN服务依赖于Windows server系统中的路由和远程访问服务(RRAS),对于用户的远程拨入授权,ISA防火墙使用和RRAS相同的方式。

当某个用户发起VPN连接时,只有在满足以下两个条件之一时,ISA防火墙允许该用户的VPN拨入:

  • 用户账户属性的拨入标签中显式允许此用户的远程访问权限 (允许访问);

  • 用户账户属性的拨入标签中设置此用户通过远程访问策略控制访问,但是具有匹配的远程访问策略(RAP)授予此用户拨入权限。

 

 

要满足第一个条件非常简单,你可以在相应用户的账户属性的拨入标签中简单的选择允许访问即可,如下图所示:

 

而第二个条件稍微有些复杂。默认情况下,不属于域的Windows server系统和具有域功能级为Windows 2000 native或者Windows server 2003的活动目录会将用户的拨入权限设置为通过远程访问策略控制访问,但是未提升域功能级的活动目录如Windows 2000 mix会将用户的拨入权限设置为拒绝访问,并且通过远程访问策略控制访问选项不可用,你需要提升域功能级为Windows 2000 native或者Windows server 2003后才能使用此选项。

在ISA防火墙启用VPN服务时,会在RRAS的远程访问策略中创建一个名为ISA服务器默认策略的RAP,

它的内容非常简单,就是拒绝任何时间的VPN访问的远程访问权限,如下图所示。每次ISA防火墙启动时,会使用自己的配置覆盖RRAS中ISA服务器默认策略的设置,并且确保此ISA服务器默认策略为RAP列表中的第一位,因此,默认情况下,除了在访问权限中显式允许远程拨入的用户,其他用户不能拨入VPN。

ISA防火墙中唯一可以修改ISA服务器默认策略的位置就是在配置VPN客户端访问中的标签,

在这个地方你选择允许拨入VPN的域用户组后,ISA防火墙会修改ISA服务器默认策略为当Windows组属性匹配你选择的域用户组时,授予用户远程访问权限,如下图所示:

 

但是ISA防火墙中的组设置只对域环境有效。对于非域环境,你不能添加本地计算机上的内建用户组,如Administrators、Power users、Users等等,因为ISA防火墙无法区分内建用户组和域用户组,详情请参见KB891240,You cannot add some local built-in groups when you configure VPN client access in Internet Security and Acceleration Server 2004

你可以手动对ISA服务器默认策略进行修改,但是每次ISA防火墙启动时,同样会使用自己的配置覆盖RRAS中ISA服务器默认策略的配置;如果此RAP不存在(被删除),则只有在ISA管理控制台中修改VPN属性中的设置时ISA防火墙才会重新创建此RAP。

因此,对于非域环境下的用户远程拨入授权,你只能通过在用户账户拨入属性中显式允许用户远程访问进行;而对于域环境下的用户远程拨入授权,除了在用户账户拨入属性中显式允许用户远程访问外,你还可以通过在ISA防火墙管理控制台中修改VPN属性允许域用户组访问进行。

最后还有一点,在域环境下为了让ISA防火墙读取域用户的拨入权限设置,你必须将ISA防火墙计算机加入到域的RAS and IAS Servers域本地安全组中,如下图所示:

你可以在Active Directory用户和计算机管理控制台中手动添加,也可以通过在ISA服务器上运行以下命令来添加:

Netsh ras add registeredserver

作者:风间子
责任编辑:风间子

[1]
上一篇:How to :让VPN客户解析内部网络中的计算机名
相关信息:

图解ISA2004 Web服务器发布
How to :在ISA Server 2004中同时使用多条路由
ISA Server 2004中的Site-to-Site VPN
How to : 使用身份验证来禁止内部用户上网
如何实现VPN使用脱离内部网络的IP地址

热点信息 TOP 10
How To:配置基于PPTP模式的站点到站点的VPN连接
启用ISA Server 2004 的VPN服务
How to :让VPN客户解析内部网络中的计算机名
使用RADIUS来认证VPN用户
ISA Server 2004中的Site-to-Site VPN
在背靠背ISA防火墙中配置远程VPN访问
配置VPN服务器使用智能卡身份验证
为VPN客户启用DHCP中继
关于L2TP站点到站点VPN连接中的证书的配置
关于ISA防火墙中VPN服务的一些补充说明

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2018 All Rights Reserved..