Quả thực, bạn có thể sử
dụng các connectoid để kết nối đến bất kỳ máy chủ VPN nào của Windows
miễn là bạn sử dụng các giao thức được hỗ trợ.
Ưu điểm trong việc sử
dụng CMAK là bạn có thể tạo một file thực thi để người dùng có thể
download từ một website. Sau đó tất cả những gì họ cần thực hiện là
kích đúp vào file đó và connectoid mà bạn đã cấu hình để chúng tự động
được cài đặt trên các máy tính của họ. Người dùng chỉ cần kích đúp vào
đối tượng connectoid trong thư mục Network Connections để quay số kết
nối VPN. Cách thức này tránh nhiều phiền hà trong việc phải đào tạo
người dùng tạo các kết nối VPN của chính họ.
CMAK là một tính năng
của Windows Server 2008 mà bạn có thể cài đặt bằng Windows Server 2008
Server Manager. Chỉ cần kích đúp vào liên kết Features trong phần panel
bên trái của giao diện, sau đó kích vào link Add Features. Trên cửa sổ Select Features bạn hãy chọn Connection Manager Administration Kit và hoàn tất cài đặt.
Sau đó bạn có thể mở CMAK từ menu của Administrative Tools. Thứ đầu tiên mà bạn sẽ thấy là trang Welcome to the Connection Manager Administration Kit Wizard. Kích Next.
Hình 1
Trong trang Select the Target Operation System,
bạn chọn hệ điều hành muốn tạo connectoid. Một khác biệt lớn giữa
Windows XP và Windows Vista là Vista hỗ trợ giao thức SSTP SSL VPN.
Trong ví dụ này, chúng tôi sẽ chọn Windows Vista và kích Next.
Hình 2
Trên cửa sổ , bạn có thể chọn để tạo new profile hoặc Existing profile. Trong ví dụ này chúng tôi sẽ tạo một profile mới. Kích Next.
Hình 3
Trong trang Specify the Service Name and the File Name, bạn hãy đặt tên cho connectoid và tên file của gói CMAK. Trong ví dụ, chúng tôi sẽ sử dụng Service name của Corporate VPN. Tên này là những gì người dùng sẽ thấy sau khi cài đặt gói CMAK. Trong hộp File name, chúng ta sẽ nhập vào CorpVPN. Đây là tên của gói CMAK sẽ được tạo và tên của file mà người dùng sẽ download và cài đặt.
Hình 4
Trên cửa sổ Specify a Realm Name,
bạn có thể nhập vào tên vùng cho tên người dùng. Tên này thường được sử
dụng khi bạn đang sử dụng ISP như một gateway chứng thực cho máy chủ
VPN. Chúng ta sẽ không sử dụng tên vùng trong ví dụ này, chính vì vậy
sẽ kích Next.
Hình 5
Bạn có thể kết hợp thông tin từ các profile khác trong trang Merge Information from Other Profiles. Đây
là sự khác biệt với các trang trước mà bạn có thể chọn tùy chọn để cập
nhật một profile trước. Trang này cho phép chúng ta import các thông
tin trong sổ điện thoại từ nhiều profile khác. Trong ví dụ này, chúng
ta không có profile khác với các thông tin sổ điện thoại đó, chính vì
vậy hãy kích Next.
Hình 6
Trong trang Add Support for VPN Connections,
bạn có thể cấu hình VPN connectoid để kết nối với một VPN trực tiếp
trên Internet, hoặc thông qua một kết nối dial-up. Các kết nối dial-up
không được sử dụng nhiều ở đây vì vậy chúng ta sẽ cho phép kết nối VPN
thông qua liên kết trực tiếp với Internet. Tích vào hộp kiểm Phone book from this profile sau đó chọn always use the same VPN server hoặc Allow the user to choose a VPN server before. Nếu bạn chọn Allow the user to choose a VPN server before connecting thì sẽ phải duyệt vào file .txt có các tên của các máy chủ đó, xem thể hiện trong hình bên dưới.
Trong ví dụ này, chúng
ta có một máy chủ VPN hoặc một máy chủ VPN đang sử dụng NLB và một địa
chỉ IP, chính vì vậy chúng ta sẽ nhập vào địa chỉ IP đó trong hộp văn
bản Always use the same VPN server. Kích Next.
Hình 7
Hình 8
Trong trang Create or Modify a VPN Entry, bạn có thể thiết lập cấu hình chi tiết cho kết nối VPN. Giá trị mặc định Corporate VPN Tunnel đã được tạo cho chúng ta. Kích nút Edit để tạo các thay đổi theo ý của bạn.
Hình 9
Trong tab General,
bạn có thể chọn cho phép hoặc vô hiệu hóa tính năng chia sẻ file và máy
in cho VPN client. Đây là một ý tưởng rất thú vị cho các kết nối VPN
client, vì các host này có thể có các file và máy in được chia sẻ với
các mạng kết nối với chúng. Bạn cũng có thể chọn kích hoạt cả IPv4 và
IPv6, chỉ kết nối IPv4 hoặc chỉ IPv6 cho VPN client. Trong ví dụ này
chúng tôi cho phép cả hai kết nối IPv4 và IPv6.
Hình 10
Trong tab IPv4,
chúng ta có thể thiết lập các địa chỉ máy chủ DNS chính và thứ cấp.
Hoặc bạn có thể thiết lập nó để máy khách nhận thông tin này từ máy chủ
VPN. Trong hầu hết các trường hợp, bạn sẽ chọn VPN client để có được
các thông tin này từ máy chủ VPN.
Bạn cũng có thể chọn để
làm cho máy khách có thể sử dụng kết nối VPN như một cổng mặc định của
client. Khithực hiện điều này, bạn sẽ vô hiệu hóa việc chia tách đường
hầm. Mặc dù vậy nó cũng có nghĩa rằng nếu client cần kết nối với
Internet thì sẽ cần phải thực hiện thông qua máy chủ VPN mà client được
kết nối với, hoặc thông qua Winsock và Web Proxy server (như ISA
Firewall) là một máy khác trong mạng. Trong khi cần phải nghiên cứu
nhiều về kết nối Internet của bạn thì việc vô hiệu hóa chia tách đường
hầm là một giải pháp kết nối mạng VPN tốt nhất và bạn sẽ trở nên an
toàn hơn nếu nó được vô hiệu hóa.
Cuối cùng, bạn có thể
kích hoạt hoặc vô hiệu hóa vấn đề nén header. Tính năng này thường được
kích hoạt mặc định và nhìn chung nên được để ở trạng thái kích hoạt.
Điều này sẽ cho phép bạn có thể tăng được thông lượng thông qua các kết
nối VPN client truy cập từ xa.
Hình 11
Chúng ta sẽ bỏ qua tab IPv6
Trong tab Security, bạn có thể thiết lập mã hóa client. Bạn cũng có thể thiết lập VPN strategy, đây chính là cách VPN client sẽ kết nối với máy chủ VPN như thế nào. Bạn cũng sẽ thấy bạn co các tùy chọn dưới đây:
- Chỉ sử dụng giao thức đường hầm điểm – điểm (Point to Point Tunneling protocol - PPTP)
- Thực hiện giao thức PPTP trước
- Chỉ sử dụng giao thức L2TP (Layer Two Tunneling Protocol)
- Thực hiện L2TP trước
- Chỉ sử dụng giao thức SSTP (Secure Socket Tunneling Protocol)
- Thực hiện SSTP trước
VPN client sẽ thực hiện
các giao thức VPN theo đúng thứ tự PPTP đầu tiên, L2TP/Ipsec thứ hai và
SSTP thứ ba. Tuy vậy nếu bạn chọn thực hiện một giao thức khác trước,
nó sẽ thay đổi thứ tự này. Cho ví dụ, nếu bạn check giao thức SSTP VPN
trước, thì SSTP sẽ được thực hiện đầu tiên, sau đó là PPTP và
L2TP/Ipsec.
Trong khung Logon security, bạn có thể chọn sử dụng Use Extensible Authentication Protocol hoặc Authentication methods. Nếu
bạn chọn cái trước thì có thể cấu hình chứng thực EAP bạn muốn sử dụng
còn nếu chọn cái sau thì bạn có thể tích vào các hộp kiểm cho các giao
thức mà bạn muốn hỗ trợ trong đó gồm có PAP, CHAP và MS-CHAPv2.
Hình 12
Nếu chọn tùy chọn PEAP
bạn có thể áp đặt client để hợp lệ hóa chứng chỉ máy chủ, và cũng áp
đặt client để kết nối với một máy chủ nào đó như đã được định nghĩa bởi
tên common/subject trên chứng chỉ máy chủ đã hiện diện đối với client
bởi máy chủ VPN. Bạn cũng có thể hạn chế những Trusted Root
Certification Authorities nào được tin cậy. Lưu ý rằng chúng tôi đã
chọn PEAP trong ví dụ này, tuy nhiên từ những gì chúng tôi thấy được
trên TechNet qua một vài bài báo về PEAP thì thấy rằng PEAP không được
hỗ trợ trên các VPN client. Có lẽ đây là hạn chế của Windows Server
2003, hoặc một lỗi trong giao diện CMAK.
Tuy nhiên PEAP-MS-CHAPv2 được hỗ trợ cho các kết nối truy cập từ xa với VPN client.
Hình 13
Trong tab Advanced,
bạn có thể nhập vào hậu tố DNS mà kết nối VPN sẽ sử dụng để đăng ký với
DDNS trên mạng bên trong nếu có DDNS đã được kích hoạt cho các client
này.
Hình 14
Trong tab Add a Customer Phone Book,
bạn có thể nhóm các số đã được kết nối đến máy chủ dial-up trước đó
trước khi kết nối VPN được thiết lập. Vì chúng ta không sử dụng các máy
chủ dial-up trong kịch bản này nên sẽ không tạo một sổ điện thoại tùy
chỉnh.
Hình 15
Trong trang Specify Routing Table Updates, bạn
có thể chọn nâng cấp bảng định tuyến trên client VPN truy cập từ xa để
nó biết được các tuyến trên mạng mà nó được kết nối đến. Nếu bạn chọn
tùy chọn Define a routing table update thì sẽ cần phải cung cấp một file định tuyến bằng cách sử dụng định dạng đã được mô tả ở đây.
Nếu bạn để một entry trong URL to a route file, thì các entry của bảng định tuyến sẽ được cập nhật dựa trên entry đã được nhóm vào file có thể truy cập thông qua URL.
Kích Next.
Hình 16
Trong trang Configure Proxy Settings for Internet Explorer,
bạn có thể thiết lập địa chỉ Web proxy để trình duyệt nên sử dụng khi
nó được kết nối với VPN. Lưu ý rằng đây là một địa chỉ khác để client
có thể sử dụng khi nó không được kết nối với VPN. Tùy chọn là:
- Không cấu hình các thiết lập proxy
- Tự
động copy các thiết lập Internet Explorer proxy cho người dùng hiện
hành vào giao diện đường hầm. Điều này yêu cầu người dùng đã cấu hình
các thiết lập Web proxy trong Internet Explorer rồi, nó mặc định điểm
tự động cấu hình của VPN client.
- Tự động cấu hình các thiết lập proxy
Tùy chọn cuối cùng yêu cầu bạn tạo một file văn bản có các thiết lập Web proxy đã được cấu hình. URL này có thông tin chi tiết về các yêu cầu cần thiết cho file văn bản này.
Việc cấu hình máy chủ
Web proxy rất có ích khi bạn muốn một VPN client sử dụng máy chủ Web
proxy trên máy tính khác với máy chủ VPN mà VPN client được kết nối.
Thêm vào đó, hầu hết các Web proxy đều được sử dụng bởi các công ty có
khả năng lọc nội dung, như vậy sẽ tăng được khả năng bảo mật. Kích Next.
Hình 17
Có một số các hành động
tùy chỉnh bạn có thể cấu hình VPN client để tiến hành. Ví dụ, bạn có
thể cấu hình một số hành động diễn ra trước khi kết nối được thành lập,
một số hành động được tiến hành sau khi kết nối được thành lập và một
số được tiến hành sau khi client hủy kết nối. Điều này yêu cầu một số
chuyên môn của các chuyên gia, nhưng nếu bạn quan tâm đến các kiểu hành
động này, hãy tham khảo các thông tin chi tiết tại đây.
Hình 18
Trong trang Display a Custom Logon Bitmap,
bạn có thể nhóm một đồ họa tùy chỉnh sẽ xuất hiện trong cửa sổ kết nối
VPN client. Nếu bạn tạo một đồ họa tùy chỉnh, nó phải có kích thước
330x140 pixel. Sử dụng nút Browse để tìm đồ họa tùy chỉnh. Chúng tôi sẽ không sử dụng đồ họa này trong kịch bản chính vì vậy sẽ chấp nhận thiết lập mặc định, Default graphic, và kích Next.
Hình 19
Bạn cũng có thể tạo một đồ họa tùy chỉnh cho Phone Book. Đồ họa này cần có kích thước 114x309 pixel. Chúng tôi không có Phone Book trong ví dụ này chính vì vậy sẽ chấp nhập thiết lập mặc định, Default graphic, và kích Next.
Hình 20
Bạn có thể tạo các file
biểu tượng tùy chỉnh sẽ xuất hiện trong thư mục Network Center or
Network Connection. Đây là các file biểu tượng (.ico) sẽ được sử dụng
thay cho các biểu tượng mặc định. Chúng tôi không có các file biểu
tượng tùy chỉnh này trong ví dụ chính vì vậy sẽ chấp nhận giá trị mặc
định, Default icons, và kích Next.
Hình 21
Nếu bạn có một file trợ giúp tùy chỉnh dưới định dạng .chm thì có thể nhóm file này trong trang Include a Custom Help File. Chúng tôi không có file trợ giúp này trong ví dụ nên hãy kích Next.
Hình 22
Trong trang Display Custom Support Information, bạn nhóm một số điện thoại mà người dùng có thể gọi để yêu cầu hỗ trợ kỹ thuật. Kích Next.
Hình 23
Trong trang Display a Custom License Agreement,
bạn có thể nhóm một file văn bản đăng ký mà người dùng sẽ thấy khi cài
đặt VPN connectoid. Chúng tôi không có file này chính vì vậy chúng ta
hãy kích Next.
Hình 24
Trong trang , bạn nhóm
các file bổ sung có thể được sử dụng trong các hành động tiền kết nối,
gửi kết nối hoặc hủy kết nối disconnection. Ví dụ, nếu bạn sử dụng tính
năng Windows Remote Access Quarantine Control thì sẽ nhóm các thành
phần của giải pháp đó như một phần của profile. Chúng tôi không có các
file bổ sung nên chúng ta hãy kích Next.
Hình 25
Profile được hoàn tất và file cài đặt đã sẵn sàng được biên dịch. Kích Finish để tạo file cài đặt CMAK.
Hình 26
Cửa sổ Windows Explorer
sẽ mở thư mục có file cài đặt. Cũng có trong thư mục này là các file
mà bạn có thể sử dụng trong tương lai để nâng cấp gói. Copy file .exe
vào điểm mà người dùng có thể download, ví dụ như một thư mục chia sẻ
hoặc một website, sau đó cho mọi người biết ai yêu cầu kết nối VPN để
có được các file và cài đặt nó trên máy tính của họ.
Hình 27
Hãy chạy file và xem cảm
nhận như thế nào đối với người dùng. Thứ đầu tiên mà họ sẽ thấy là một
hộp thoại hỏi xem có muốn cài đặt Corporate VPN không. Không phải điều
này được dựa trên tên mà bạn nhóm lúc ban đầu của CMAK. Kích Yes.
Người dùng sẽ có một lựa chọn tạo kết nối có sẵn cho All users hoặc My use only.
Một thứ mà người dùng cần phải biết ở đây là nếu họ muốn đăng nhập
thông qua kết nối dial-up thì họ cần tạo connectoid có sẵn đối với All users. Nếu người dùng không đăng nhập thông qua kết nối dial-up thì họ có thể chọn My use only để có được cấu hình an toàn hơn.
Hình 28
Hộp thoại đăng nhập xuất
hiện. Nhập vào tên người dùng, mật khẩu và miền, nếu máy chủ VPN là một
thành viên miền của miền bạn đang sử dụng RADIUS cho chứng thực miền.
Kích Connect. Lúc này người dùng sẽ kết nối với VPN.
Hình 29
Kết luận
Connection Manager
Administration Kit cung cấp cho bạn một cách tương đối dễ dàng để tạo
các profile dịch vụ kết nối cho các người dùng VPN. Người dùng sẽ không
cần biết các thông tin chi tiết của cấu hình, sẽ không cần nhớ tên của
máy chủ VPN và không phải nghiên cứu về các giao thức VPN để sử dụng
kết nối máy chủ VPN. Điều này đã giảm được các yêu cầu hỗ trợ kỹ thuật
về các vấn đề xảy ra đối với người dùng có liên quan đến việc cấu hình
VPN connectoids. Lưu ý rằng khi cấu hình được xây dựng trước cho người
dùng thì họ vẫn có thể tạo những thay đổi cho cấu hình này chính vì vậy
rất linh động với cấu hình ứng dụng.
Theo 911.com.vn
"1001 Templates +Themes + Ebook về Download miến phí" www.thegioiweb.vn