windows server 2003架设VPN

狙神

　让远程用户连接Exchange Server的传统解决方案是使用Outlook Web Access.然而，为何不使用虚拟专用网（Virtual Private Network，VPN）让你的远程用户与你的Exchange连接在一起呢？
　　
　　如果你不熟悉VPN，我将向你介绍，VPN是穿越不安全的网络，譬如Internet的一个逻辑的、安全的网络连接。远程用户能够通过他们的已经存在的Internet连接，安全地连接进入你的网络，就像他们亲自在办公室中一样。另外一个优势是，VPN是交换独立的，这意味着你能够使用VPN连接访问Exchange Server，而不用考虑版本问题，并且你还可以使用VPN连接访问其它网络资源。
　　
　　VPN技术对机构和很多远程用户来说，是极端有用的，但在设定上，它可能有些复杂。下面的指南将手把手的教你如何建立VPN，它包含各个步骤详细的操作流程。
　　
　　第一步：系统需求
　　
　　VPN分为两种，一种是硬件解决方案，一种是软件解决方案，在这个手把手的指南中，我将介绍一种软件解决方案，即使用Microsoft产品建立VPN.
　　
　　为了架设VPN，你将需要三个独立的Windows 2003服务器和至少一个远程用户，远程用户的机器上需要运行Windows XP操作系统。
　　
　　你的VPN需要的第一台Windows 2003服务器是一台基本的基础设施服务器，它必须作为一台域控制器（domain controller），DHCP服务器（DHCP server），DNS服务器（DNS Server）和认证中心（certificate authority）。如果你的网络中已经有一台Windows 2003服务器，你就不需要去购买一台服务器担当此角色。
　　
　　任何Windows 2003域都至少有一台域控制器和一台作为DNS的服务器，多数Windows 2003网络同时运行DHCP服务。如果你所有的这些服务已经到位，你所关心的唯一的事情就是设置一个认证中心（我将在第三步为你说明如何做这件事情）。下载，你只需知道作为认证中心的那台服务器必需运行Windows Server 2003 Enterprise Edition操作系统。
　　
　　你需要的第二台服务器将是VPN服务器（VPN server），Windows Server 2003 Standard Edition和Enterprise Edition都提供了VPN服务器的必要软件，因此，你不需要在这台服务器上安装任何特别的软件。唯一特别的是硬件上，这台服务器需要双网卡，一块网卡连接Internet，另一块网卡则连接你的专用企业网络。
　　
　　你需要的最后一台服务器将是认证服务器（authentication server）。当远程用户通过VPN尝试进入你的企业网络时，他们必需通过认证。远程用户认证的机制可以选择RADIUS服务器（RADIUS server），RADIUS 是Remote Authentication Dial In User Service（远程身份验证拨入用户服务）的首字母缩写。在Windows Server 2003 Standard Edition和Enterprise Edition中，包含有微软自有版本的RADIUS.微软的RADIUS叫做Internet验证服务（Internet Authentication Service，IAS），对这台服务器来说，没有特殊的硬件和软件要求。
　　
　　在这一部分，最后我想说的是服务器的安置问题。任何一台我谈论到的服务器都将通过Hub或交换机接入你的专用网络，唯一与外界连接的服务器是你的VPN服务器，但将VPN服务器直接与Internet连接将会带来安全风险，因此，在VPN服务器的前面放置一台防火墙是很好的解决办法，你可以用它过滤掉除了VPN通讯外所有其它的信息。
　　
　　在第二步，我们将开始配置域的过程，所以在进入下一步之前，你的网络中必需包含必需的Windows 2003域控制器和DNS服务器。
　　
　　第二步：实施DHCP服务
　　
　　1.打开服务器的控制面板，选择“添加或删除程序”。
　　
　　2.当“添加或删除程序”对话框出现时，点击“添加/删除Windows组件”按钮。
　　
　　3.在弹出的窗口中，选择“网络服务”，按下“详细信息”。
　　
　　4.现在从网络服务列表中选择“动态主机配置协议（DHCP）”，然后单击“确定”，进行下一步操作。
　　
　　Windows现在将安装DHCP服务，安装结束后，你将要创建一个地址范围，并且启动DHCP服务器，在你的网络上运行。
　　
　　5.为了做到这些，请在控制面板――管理工具中选择动态主机配置协议（DHCP）配置，打开DHCP管理器。
　　
　　6.在DHCP管理器中你的服务器上单击右键，选择启动（Authorize）。
　　
　　7.启动DHCP服务器后，在DHCP管理器的服务器列表窗口中单击右键，选择“新建作用域（New Scope）”，这将启动新建作用域向导。
　　
　　8.点击下一步略过向导的欢迎界面。
　　
　　9.输入你正在创建的作用域的名称，并且点击下一步。（你可以输入任何你想到的名称，但在这个教程中，我将命名此作用域为“Corporate Network”。）
　　
　　10.现在你将需要填入IP地址范围。在这里只需输入你已经使用的起始IP地址和结束IP地址，但注意不要与已经存在的IP地址冲突。长度和子网掩码部分则会自动输入，不需要你的干涉，当然，你也可以手动调节这两者的值。
　　
　　11.接下来的三个画面包括一些你不必关心的设置，连续三次点击下一步，直到你进入“路由（默认网关）（Router （Default Gateway））”界面。
　　
　　12.输入你网络网关的IP地址，点击添加，然后下一步。
　　
　　13.输入你的域的名称和你的DHCP服务器的IP地址（IP address of your DHCP server），然后点击下一步。
　　
　　14.单击下一步略过WINS配置窗口。
　　
　　15.最后，根据提示选“是，我想激活作用域（Yes， I Want To Activate The Scope Now）”再点击“完成”即可结束最后设置。
　　
　　第三步：创建一个企业认证中心
　　
　　在我向你讲述如何创建一个企业认证中心之前，我将告诉你几个必需注意的事项。安装认证中心并不是一个轻松的过程，如果一个未经授权的用户进入了你的认证中心，他将几乎控制你的所有网络。同样，如果认证中心服务器当机，它可能对给你的网络带来毁灭性的破坏。
　　
　　所以，一定要像保护原子弹一样保护你的认证中心，确保认证中心尽可能的安全，并频繁的做好全系统的备份，你还需要保护这些备份，以防止它们偶然地出现问题。下面是创建企业认证中心的具体过程。
　　
　　1. 打开服务器的控制面板，选择“添加或删除程序”，点击其中的“添加/删除Windows组件”按钮。
　　
　　2.选择Windows组件中的“证书服务”。
　　
　　3.你将会看到一个警告窗口，上面的信息为：“安装证书服务后，计算机名和域成员身份都不能更改，因为计算机名到CA信息的绑定存储在Active Directory中。更改计算机名或域成员身份将使此CA颁发的证书无效。在安装证书服务前请确认配置了正确的计算机名和域成员身份。您想继续吗？”点击“是”，接受这一警告信息，并点击“下一步”，开始安装证书服务。
　　
　　4.选择“独立根CA”作为你想安装的CA类型，并点击下一步。
　　
　　在这里，为自己的CA服务器取个名字，设置证书的有效期限。默认的证书有效期限为5年，不过你可以通过企业安全策略来增加或减少此有效期限。
　　
　　5.填写好这两个文本框，点击下一步，Windows将开始生成加密密钥。
　　
　　6.最后指定证书数据库和证书数据库日志的位置，按照默认即可，除非你自己想更换路径，然后点击下一步。
　　
　　7.现在将出现一则消息，提示Windows必需重新启动IIS服务，才能够让证书服务正常运行。点击“是”，Windows将安装必要的组件。
　　
　　第四步：安装Internet验证服务
　　
　　Internet验证服务是Windows Server 2003实施RADIUS的一种服务，Internet验证服务将认证那些通过VPN连接进入你的企业网络的用户，因此，你的Internet验证服务器必需是你的域服务器中的一员，并且运行Windows Server 2003操作系统。为了正确安装IAS，请遵循以下的步骤：
　　
　　1.定位到开始 | 设置 | 控制面板（Start| Settings | Control Panel）。
　　
　　2.双击添加或删除程序（Add/Remove Programs）。
　　
　　3.选择添加/删除Windows组件（Add/Remove Windows Components）。
　　
　　4.在组件列表中，选择网络服务（Networking Services），并点击详细内容。
　　
　　5.选择Internet验证服务（Internet Authentication Service）的确认框，然后点击OK，并点击下一步。
　　
　　完成安装之后，系统中将具有用于因特网认证服务的管理工具的一个新的连接。接着，你必须为每一台机器设置一个客户端，并指定一个远距离访问规范以控制访问。
　　
　　第五步：配置Internet验证服务
　　
　　1.进入管理工具（Administrative Tools）-> Internet验证服务（Internet Authentication Service）。
　　
　　2.在这里，你需要做的第一件事情是在活动目录（Active Directory）中注册你的Internet验证服务器。为了做到这些，请在Internet验证服务器（本地）（Internet Authentication Service （Local））容器上单击右键，选择在活动目录中注册服务器（Register Server in Active Directory）。
　　
　　3.点击确定完成注册过程。
　　
　　4.现在，在RADIUS客户（RADIUS Clients）容器上单击右键，选择新RADIUS客户（RADIUS Clients）。如果你正好直到你某台客户端机器的IP地址或DNS名称，继续下去，输入一个友好的名字。否则，暂时将它留空，在随后的设置客户端连接时再进行填写。
　　
　　5.点击下一步。
　　
　　6.此时，会提示你输入一个共享的密钥。共享密钥是RADIUS服务器和客户端同时使用的密钥，确定客户端供应商选项设置为RADIUS标准，输入一个共享密钥值，点击完成。
　　
　　第六步：创建远程访问策略
　　
　　1. 在Internet验证服务控制台，右击远程访问策略（Remote Access Policies）容器，选择新建远程访问策略（New Remote Access Policy）选项，这将启动新建远程访问策略向导。
　　
　　2. 在欢迎使用新建远程访问策略向导页，点击下一步。
　　
　　3.在策略配置方式页，选择使用向导为通用环境建立典型的策略（Typical Policy for a Common Scenario）选项，在策略名字文本框中输入一个名字，在此我们命名为“VPN Access”，点击下一步。
　　
　　4.在访问方式页，选择VPN 选项，然后点击Next.
　　
　　5.在访问的组或者用户页，选择组或用户，然后点击添加。如果你还没有做这一步，我建议你花一些事件创建一个建立在能够通过VPN访问网络的用户纸上的活动目录组，然后将这个组添加进入策略。
　　
　　6.点击下一步，进入认证方法窗口。
　　
　　7.确认选择了“Microsoft Encrypted Authentication version 2 （MS CHAPV2） ”，然后点击下一步。
　　
　　8.在策略加密级别页，确认只选择了“Strong encryption”选项，随后点击下一步，根据向导，在完成新建远程访问策略向导页点击完成。
　　
　　第七步：配置VPN服务器
　　
　　1.开始，请打开服务器的网络连接（Network Connections）目录，并将连接重命名为有意义的名字，例如，你可以将连接命名为企业和Internet，或者其它你喜欢的名字。
　　
　　2.进入管理工具（Administrative Tools）->路由和远程访问（Routing and Remote Access），打开路由和远程访问管理器。
　　
　　3.在管理器目录数中，右键单击你的VPN服务器，选择配置和启用路由和远程访问（Configure and Enable Routing and Remote Access），这将载入路由和远程访问服务器设置向导（Routing and Remote Access Server Setup Wizard）。
　　
　　4.点击下一步，略过向导的欢迎页面，然后你将看到向导的配置窗口。
　　
　　5.选择远程访问（拨号或VPN）Remote Access （Dial-Up or VPN），然后点击下一步。
　　
　　6.选中VPN前面的复选框，点击下一步。
　　
　　7.现在，你将看到一个窗口，此窗口中显示有你的机器的网络连接。选择连接Internet的那个连接，确认启用安全（Enable Security）复选框被选择，然后单击下一步。
　　
　　8.确认选中了自动（Automatically），并点击下一步。
　　
　　9.现在，在选项中选择和设置跟RADIUS服务器一起工作的服务器，并单击下一步。
　　
　　10.输入你的RADIUS服务器的IP地址，和你为RADIUS服务器分配的共享密钥信息。
　　
　　11.点击下一步，点击完成。
　　
　　第八步：使VPN服务器和DHCP服务器关联起来
　　
　　1.在路由和远程访问控制台目录数中指向你的服务器->IP路由（IP Routing）->DCHP中继代理（DHCP Relay Agent）。
　　
　　2.在DHCP中继代理上单击右键，选择属性（Properties）。
　　
　　3.输入你的DHCP服务器的IP地址，点击添加，然后再单击确定。
　　
　　现在你的VPN服务器已经配置好了。万事俱备，剩下的唯一要做的就是配置你的客户端，使它们与你刚刚创建的VPN服务协同工作。
　　
　　第九步：配置远程客户端
　　
　　你应该可以记起，我们必需为那些能够通过VPN访问企业内部网络的用户创建一个特别的安全组。所以，我假设你的远程用户已经被加入必要的组，并且客户端的计算机已经接入了Internet.
　　
　　允许一台运行Windows XP操作系统的客户端计算机访问你的专用网络，就必需告诉它们如何使用VPN连接。
　　
　　1.为了做到这些，请打开控制面板（Control Panel），选择网络和Internet连接（Network and Internet Connections）选项。
　　
　　2.创建一个新连接，在向导中选择连接到我的工作场所的网络（Connection to the Network At Your Workplace）选项。
　　
　　3.Windows现在将询问你，想创建一个拨号连接（dial-up connection），还是一个虚拟专用网络连接（VPN connection）。选择虚拟专用网络连接，点击下一步。
　　
　　4.在这一步，你将看到公司名的项目，你能够在这里输入你公司的名字，你连接的服务器的名字，或者其它你用来描述连接的东西。
　　
　　5.点击下一步，你将被要求输入你正连接的计算机的主机名或IP地址，请填入你的VPN服务器的外网IP地址（即连接进入Internet的IP地址）。
　　
　　6.再次单击下一步 ，根据向导最后完成你的VPN连接创建。
　　
　　第十步：测试客户端连接
　　
　　1.双击可用连接列表中的VPN连接。
　　
　　2.你将被要求输入用户名和密码。为了更好的使用VPN连接，我们还需要进行一些设置，因此请点击此界面中的属性（Properties）按钮。
　　
　　3.在属性窗口中，选择网络（Networking）标签。
　　
　　4.选择VPN类型为PPTP VPN，按下确定按钮。
　　
　　5.现在你将回到VPN连接登陆窗口，以domain/username格式输入你的用户名 .
　　
　　6.然后输入你的密码，点击连接（Connect）。
　　
　　7.这里可能会提供一个机会，让你选择想连接那个网络。如果有提示，选择局域网连接（LAN Connection）选项。
　　
　　8.一旦连接建立，请在开始->运行中输入\servernameROOT命令。
　　
　　你应该可以看到你的服务器的C盘的内容（假设你有相应的权限）。当然，这种直接访问服务器C盘的方式非常罕见，多数情况下，你只能访问服务器上的特定共享资源，而要做到这些，你应该在开始->运行中输入\servernamesharename.
　　
　　第十一步：改变VPN的配置选项
　　
　　在这个手把手的指南中，我只概述了半打客户端VPN连接类型中的一个，根据不同的加密和认证技术，存在多种多样的VPN连接类型，若是你对此非常有兴趣，则可以参考微软的《Step-by-Step Guide for Setting Up VPN-based Remote Access in a Test Lab》，其网址为http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/networking/rmotevpn.mspx