مشکل در راه اندازی SSL VPN

سلام دوست عزیز شما باید در registery تغییر رو انجام بدی.شما باید CRL ckeck رو بر روی کلاینت غیر فعال کنید برای این کار اول در run بزن regedit بعد از باز شدن پنجره مربوط به registry به مسیر زیر برو HKEYLOCALMACHINE–>System->CurrentControlSet->Services->Sstpsvc->parameters

بعد یک DWORD بساز و در value name بزن NoCertRevocationCheck و value data رو هم 1 بزار مانند شکل زیر

و کامپیوتر رو ریستارت کن یکبار.شرمنده اگر دیر جواب دادم بعد از مدتا به سایت برگشتم.موفق باشی

بله درست ولی اگر بتوانید مطلبی کامل در این مورد بگذارید خیلی بهتر هست

مهندسین محترم

خودم جواب سوالم را یافتم. این سناریو برا کسی که وارده خوبه جهت یاداوری اما برا یه مبتدی یه مقدار سه چهار قسمتش مبهمه. من به انواع مشکلات برخوردم اما تا اخرشو با کلی فکر و تجزیه و تحلیل و سرچ پیاده سازی کردم. اگر کسی سوالی داشت می توانم راهنماییش کنم.

همگی پیروز و موفق باشید :)

سلام

حالا که اول Active Directory Certificate Services اول نصب شده برای نصب IIS دیگه کاری نمی شه کرد؟ باید از اول بریم یا راهی داره؟ چون من الان که IIS رو نصب کردم گزینه CertSrv‌ رو نمی بینم داخل Default Web Site . بعد اگه قرار باشه از اول نصب بشه به ترتیب :

اول AD DC

بعد IIS

بعد AD CS

درسته؟

ممنون

با سلام و تشکر از مطلب بسیار مفیدتان

یک سوال و یک پیشنهاد:

سوال: در آموزش سناریو راه اندازی VPN- قسمت دوم بعد از شکل 11 که گفتید بایدقبل از نصب RRAS حتما ابتدا certification را نصب کنید، از کجا و چگونه میتونم نصبش کنم این certای که issue شده را؟

پیشنهاد: شما که اینقدر زحمت کشیدید و با حوصله مطالب را نوشتید و شکل هم گذاشتید کاش اون قسمت راه اندازیCA رویDC رو هم اورده بودید آخه من تازه کارم و نمیدونستم باید همه رول ها رو موقع نصب Enterprise CA نصب باید کرد و وسط قسمت سوم سناریو فهمیدم. در هر حال بازم ممنون از وقتی که میذارید برا تایپ مطالب و دانشتون رو در اختیار بقیه قرار میدید.

با سپاس فراوان، پیروز باشید و سربلند

خوب چند تا سئوال شد :

1. سرویس Certificate Services وابسته به وب سرور IIS هست و قطعا بایستی همراه با اون نصب بشه.
2. با توجه به اینکه Certificate Template های جدیدی در ویندوز سرور 2008 نسخه R2 اضافه شده شما باید توجه کنید که از R2 استفاده می کنید یا 2008 ؟
3. بله منظور از نصب Certificate همون گزینه Install هست که باید اجرا بشه.

موفق باشید

برای اینکه بتونید از امکانات Enterprise CA استفاده کنید ، اولا بایستی بر روی DC خودتون در هنگام ایجاد CA گزینه Enterprise CA رو انتخاب کرده باشد و از طرفی VPN Server خودتون رو هم Member این Domain کرده باشید تا بتونید از امکانات Auto Enrollment استفاده کنید .

سلام سوالی داشتم در این آموزش که خیلی هم خوب بود توضیحات میخواستم بدونم اون یوزر پسوردی که هنگام اتصال رو کانکشنی که میسازیم میزنیم همون یوزر پسورد سورو ویندوز 2008 هست ؟ و اینکه اگر بخواهیم باز هم یوزر پسورد ایجاد کنیم جدید راهی داره ؟

سلام

ممنون دوست عزیز مشکل از همون چیزی بود که شما اشاره کردین و من مراحل اولیه ساخت دومین رو انجام نداده بودم، با انجام دادن مراحل اولیه مشکل حل شد.

حالا یه مشکل دیگه پیش اومده اونم این هست که ما Certificate Services رو که توی DC‌نصب می کنیم ، IIS‌ رو هم باید نصب کنیم؟

چون تا اونجا که یادم هست نوشته شده بود در VPN‌ Server‌باید نصب بشه. این مورد رو از این جهت می پرسم که تو بخش زیر من گزینه CertSrv رو توی IIS‌ ه VPN Server نمی بینم ، نمی دونم مشکل از چیه دقیقا.

شکل 1

انجام تنظیمات Certificate Server برای اجازه ورود به ارتباطات HTTP برای دسترسی به دایرکتوری CRL

به دلایل مختلفی زمانی که شما ویزارد نصب وب سایت Certificate Services را نصب می کنید ، بصورت خودکار دایرکتوری CRL را به وسیله یک ارتباط SSL ایمن می کند . همزمان که این کار ایده بسیار خوبی برای ایمن سازی است از طرفی دیگر مشکلی وجود دارد ، URI که بر روی certificate قرار می گیرد تنظیم نشده است که از SSL استفاده کند .از آنجایی که ما از تنظیمات پیشفرض CDP استفاده می کنیم ، ما بایستی تنظیمات SSL موجود بر روی وب سایت CA را خاموش کنیم تا بتوانیم یه مسیر CRL دسترسی پیدا کنیم . مراحل زیر را برای خاموش کردن نیازمندیهای SSL برای دایرکتوری CRL انجام دهید :

1-از قسمت Administrative Tools کنسول Internet Information Services (IIS) Manager را باز کنید .

2-در قسمت چپ کنسول IIS نودها را باز کنید تا به قسمت Sites می رسید ، قسمت Default Website را باز کنید و بر روی CertEnroll مانند شکل زیر کلیک کنید .

یه سئوال دیگه هم داشتم اونم این هست که وقتی من Detail ه Certificate‌رو نگاه می کنم آدرس CRL رو طبق چیزی که شما با عکس نشون دادین نمیاره

و مورد آخر این که منظورتون اونجایی که گفتین Certificate رو حتما نصب کنید این بود که یه دابل کلیک و رفتن ویزارد رو انجام بدیم دیگه؟ بعد این رو روی VPN‌ Server باید انجام بدیم؟ ممنون میشم اگه نکته خاصی این بین بوده بگین.

پیشاپیش ممنون از راهنماییتون

سلام ، بله همه Username ها و Password ها از روی RAS خونده میشن که یا میتونه از ویندوز سرور 2008 باشه یا از اکتودایرکتوری یا یک RADIUS سرور ، هر کدوم از اینها میتونه در نقش نگهدارنده Username و Password عمل کنه که ساده ترینش استفاده از همون کاربرای ویندوز هست .

سلام

من همه Role ها رو نصب کردم و البته بعد از اینکه IIS رو هم نصب کردم تونستم مراحل راه اندازی رو کامل کنم و توی LAN تونستم رو حالت Automatic به سرور کانکت شم، اما وقتی تنظیمات رو روی SSTP می گذارم یه همچین پیغامی میاد:

Windows 8 LAN:

Windows 7 Internet:

و بعد از برگردوندن به حالت اتوماتیک دوباره می تونم کانکت شم، حتی از خارج LAN با Public IP هم روی Auto مشکلی ندارم و کانکت میشه، فقط زمانی که SSTP می کنم این مسئله هست.

لازم به ذکره Certificate رو هم از همون طریق که توضیح داده بودین نصب کردم و مشکلی نبود. نمیدونم شاید تنظیمات دیگه ایی باید روی سرور انجام بشه؟!

بعد یه مورد دیگه، اون قسمت تنظیمات که نوع Encryption و Authentication و ... توی کانکشن تنظیم می کنیم چجوری روی سرور تعریف کنیم؟

کلا ممکنه به خاطر این تنظیمات باشه؟

این رو هم اضافه کنم که من از 2 تا Windows 2008 R2 استفاده می کنم به عنوان Domain و VPN Server. برای کلاینت هم از Windows 7 Ultimate و Windows 8 استفاده کردم.

ممنون

اینا باید همزمان نصب بشه !!! چجوری نصب کردی ؟ خود سیستم بهت اعلام میکنه که برای استفاده از Auto Enrollment باید Feature های IIS نصب بشن ! اشکالی نداره شما می تونید از طریق Server Manager بر روی AD CS راست کلیک کنید و Add Role رو بزنید و بهش Auto Enrollment رو اضافه کنید که خودش بهت میگه باید IIS نصب بشه !!! اما باید نصب شده باشه اگر Role ها رو درست انتخاب کردید !! شما موقع نصب AD CS چه Role هایی رو نصب کردید ؟