Windows-Server-2008
Windows Server 2008 R2 作為 VPN 伺服器
我將在數據中心建立一個網路,我想知道是否可以讓 Windows Server 2008 R2 充當 VPN 伺服器。
另外,我聽說有 3 種主要類型的 VPN:PPTP、L2TP/IPSec 和 SSTP。經過一番調查,它似乎允許對 Mac OS X、Linux 和 Windows 提供本機(作業系統級別)支持,我將使用 PPTP 或 L2TP/IPSec。我還讀到 L2TP 比 PPTP 更安全,這是真的嗎?
最後,在主域控制器 (PDC) 上安裝 VPN 伺服器是否是個好主意,如果不是,為什麼?
PPTP 是最不安全的;但是當您使用 EAP-* 身份驗證協議時,它對於除 FIPS-140 數據之外的所有數據仍然足夠安全。MS-CHAPv2 也非常安全。但它依賴於密碼,這幾乎總是弱點(還有社會工程,它非常有效)。
L2TP 更安全,您應該使用證書而不是 PSK 來部署它。這需要一個 PKI,設置起來並不難。它比 PPTP 更安全,但只是因為需要證書或 PSK。
SSTP 基本上和 L2TP 一樣安全,它再次使用證書,仍然需要 PKI。它的主要優點是它可以與阻止 GRE 和 UDP 流量(分別用於 PPTP 和 L2TP)的廉價防火牆(或緊密配置的防火牆)一起使用。
最好只在伺服器上安裝 AD 本身(或使用 DNS);但是人們經常安裝其他服務而沒有重大問題。請記住,如果此 Internet 連接的伺服器受到威脅,您的 AD DB 也會自動受到威脅。