教学材料《WindowsServer安装与配置》-项目十四

任务一连接VPN服务器任务描述配置并启用VPN服务，配置域用户帐户允许VPN连接，验证VPN连接。下一页返回任务一连接VPN服务器

实施条件在架设VPN服务器之前，需要了解部署的需求和实验环境。1.部署需求在部署VPN服务前需满足以下要求。（1）设置VPN服务器的TCP/IP属性，手工指定IP地址、子网掩码、默认网关和DNS服务器IP地址等。（2）部署域环境，域名为。2.部署环境本章的实例被部署在一个域环境下，域名为。其中域控制器主机名为dcserver，IP地址为，VPN服务器主机名为vpnserver，其本身是域成员服务器，连接内部局域网网卡IP的地址为，连接外部网络网卡IP地址为，这两台计算机都是域中的计算机。VPN客户机主机名为client，其IP地址为，具体网络拓扑如图14-3所示。上一页下一页返回任务一连接VPN服务器实施步骤

1.配置并启用VPN服务在计算机VPNSERVER上通过“路由和远程访问”控制台配置并启用VPN服务的具体步骤如下。（1）打开“路由和远程访问服务器安装向导”对话框，以域管理员帐户登录到需要添加VPN服务的计算机上，选择“开始”→“程序”→“管理工具”→“路由和远程访问”命令，打开“路由和远程访问”窗口。右击服务器，在弹出的快捷菜单中选择“配置并启用路由和远程访问”命令，如图14-4所示，打开“路由和远程访问服务器安装向导”对话框。（2）选择VPN连接。单击“下一步”按钮，出现“配置”界面，可以配置NAT、VPN及路由服务，在此选中“远程访问（拨号或VPN）”单选按钮，如图14-5所示。单击“下一步”按钮，出现“远程访问”界面，可以创建拨号或VPN远程访问连接，在此选中VPN复选框，如图14-6所示。上一页下一页返回任务一连接VPN服务器（3）选择连接到Internet的网络接口。单击“下一步”按钮，出现“VPN连接”界面，选择连接到Internet的网络接口WAN，如图14-7所示。（4）为VPN客户机指派IP地址范围。单击“下一步”按钮，出现“IP地址指定”界面，可以设置指派给VPN客户端的IP地址从DHCP服务器获取或是指定一个范围，选中“来自一个指定的地址范围”单选按钮，如图14-8所示。单击“下一步”按钮，出现如图14-9所示的“地址范围指定”界面，可以指定指派给VPN客户机的IP范围。单击“下一步”按钮，弹出“编辑地址范围”对话框，在“起始IP地址”文本框中输入“”，在“结束IP地址”文本框中输入“6”，如图14-10所示。单击“确定”按钮，返回“地址范围指定”界面，如图14-11所示，可以看到已经指定了一段IP地址范围。上一页下一页返回任务一连接VPN服务器

（5）结束VPN配置。单击“下一步”按钮，出现“管理多个远程访问服务器”界面，可以指定身份验证的方法是路由和远程访问服务器还是RADIUS服务器，在此选中“否，使用路由和远程访问来对连接请求进行身份验证”单选按钮，如图14-12所示。单击“下一步”按钮，出现如图14-13所示界面，显示了之前步骤所设置的信息。单击“完成”按钮，出现如图14-14所示对话框，表示需要配置DHCP中继代理程序。上一页下一页返回任务一连接VPN服务器（6）查看VPN服务器状态。单击“确定”按钮，完成VPN服务器的创建，返回如图14-15所示的“路由和远程访问”窗口，由于目前已启用VPN服务，所以显示绿色向上的标识箭头。选择“端口”选项，在“路由和远程访问”窗口右侧界面中显示的所有端口的状态都为“不活动”，如图14-16所示。选择“网络接口”选项，“路由和远程访问”窗口右侧界面中显示VPN服务器上的所有网络接口，如图14-17所示。2.VPN服务的停止和启动要启动或停止VPN服务，可以使用net命令、“路由和远程访问”控制台和“服务”控制台，具体步骤如下。1）使用net命令以域管理员帐户登录到VPN服务器上，在命令行提示符界面中，输入命令“netstopremoteaccess”可停止VPN服务，输入命令“netstartremoteaccess”可启动VPN服务。上一页下一页返回任务一连接VPN服务器2）使用“路由和远程访问”控制台在“路由和远程访问”窗口中，右击服务器，在弹出的快捷菜单中选择“所有任务”→“停止或启动”命令即可停止和启动VPN服务。3）使用“服务”控制台选择“开始”→“程序”→“管理工具”→“服务”命令，打开“服务”窗口，右击服务RouingandRemoteAccess，在弹出的快捷菜单中选择“停止”或“启动”命令，即可停止或启动VPN服务，如图14-18所示。3.配置域用户帐户允许VPN连接在域控制器上设置允许用户Administrator@访问VPN服务器的具体步骤如下。上一页下一页返回任务一连接VPN服务器以域管理员帐户登录到域控制器上，打开“ActiveDirectory用户和计算机”窗口，依次展开服务器和Users，在右侧界面右击Administrator，在弹出的快捷菜单中选择“属性”命令，如图14-19所示，打开用户属性对话框。在“Administrator属性”对话框中打开“拨入”选项卡。在“远程访问权限（拨入或VPN）”选项区域中选中“允许访问”单选按钮，如图14-20所示，然后单击“确定”按钮。4.在客户端建立并测试VPN连接在VPN客户机上建立VPN连接并连接到VPN服务器上，具体步骤如下。1）在客户端新建VPN连接以本地管理员帐户登录到VPN客户机上，右击桌面上的“网上邻居”，在弹出的快捷菜单中选择“属性”命令，打开如图14-21所示的“网络连接”窗口。上一页下一页返回任务一连接VPN服务器选择“新建连接向导”选项，将打开如图14-22所示的“新建连接向导”对话框，通过该对话框可以建立连接，以连接到Internet或专用网络上。单击“下一步”按钮，出现“网络连接类型”界面，可以指定建立的连接类型，在此选中“连接到我的工作场所的网络”单选按钮，如图14-23所示。单击“下一步”按钮，出现“网络连接”界面，可以建立拨号连接或VPN连接，在此选中“虚拟专用网络连接”单选按钮，如图14-24所示。单击“下一步”按钮，出现“连接名”界面，在“公司名”文本框中输入“VPN”指定连接的名称，如图14-25所示。单击“下一步”按钮，出现“VPN服务器选择”界面，在“主机名或IP地址”文本框中输入“”，指定要连接的VPN服务器的IP地址，如图14-26所示。上一页下一页返回任务一连接VPN服务器单击“下一步”按钮，出现“可用连接”界面，可指定可以使用连接的对象，选中“只是我使用”单选按钮，如图14-27所示。单击“下一步”按钮，出现如图14-28所示的“正在完成新建连接向导”界面，单击“完成”按钮，连接创建完成。在如图14-29所示的“网络连接”窗口中，可以看到刚才建立的客户端VPN连接，目前状态是断开的。2）未连接到VPN服务器时的测试打开“命令提示符”窗口，先后输入命令“ping”和“ping”测试VPN客户端和VPN服务器以及内网计算机的连通性，如图14-30所示，显示不能连通。上一页下一页返回任务一连接VPN服务器3）连接到VPN服务器双击如图14?29所示的VPN连接，打开如图14-31所示对话框，输入允许VPN连接的账号和密码，在此使用帐户Administrator@建立连接。单击“确定”按钮，经过身份验证后即可连接到VPN服务器。在如图14-32所示的“网络连接”窗口中可以看到VPN的状态是连接的。5.访问公司内部局域网共享资源VPN客户机连接到VPN之后，可以访问公司内部局域网共享资源，具体步骤如下。上一页下一页返回任务一连接VPN服务器1）查看VPN客户机获取到的IP地址以本地管理员帐户登录到VPN客户机上，打开“命令提示符”窗口，在其中输入命令“ipconfig/all”查看IP地址信息，如图14-33所示，可以看到VPN连接获取的IP地址。先后输入命令“ping”和“ping”，测试VPN客户端和VPN服务器以及内网计算机的连通性，如图14-34所示，显示能连通。2）在VPN服务器上的验证以域管理员帐户登录到VPN服务器上，在“路由和远程访问”窗口中，展开服务器，如图14-35所示，可以看到“远程访问客户端（1）”选项，这表明已经有一个客户端建立了VPN连接，窗口右侧界面中显示连接时间及连接的帐户，如图14-35所示。选择“端口”选项，在控制台右侧界面中可以看到其中一个端口的状态是“活动”，表明有客户端连接到VPN服务器，如图14-36所示。上一页下一页返回任务一连接VPN服务器右击该活动端口并在弹出的快捷菜单中选择“属性”命令，打开如图14-37所示的“端口状态”对话框，显示连接时间、用户以及分配给VPN客户机的IP地址。3）访问内部局域网的共享文件以域管理员帐户登录到域控制器上，创建“C:\test”文件夹作为测试目录，并将该文件夹共享，如图14-38所示。以域管理员帐户登录到VPN客户机上，打开“网上邻居”窗口，在“地址”文本框中输入域控制器上共享文件夹的UNC路径“\\\test”。由于已经连接到VPN服务器上，所以可以访问内网的共享资源，如图14-39所示。4）断开VPN连接以域管理员帐户登录到VPN服务器上，在“路由和远程访问”窗口中，展开服务器和“远程访问客户端（1）”，在控制台右侧界面中右击远程访问客户端，在弹出的快捷菜单中选择“断开”命令即可断开客户端的VPN连接。上一页返回任务二配置远程访问策略任务描述通过添加远程访问策略条件，指定每周允许用户连接的日期和时间，指定用户所属的Windows群组，授予远程访问的权限；设置远程访问配置文件；提升域功能级别来设置用户访问权限。下一页返回任务二配置远程访问策略实施条件在任务一正常完成的前提下，实施此次任务。下一页返回任务二配置远程访问策略实施步骤在VPN服务器上创建远程访问策略，具体步骤如下。1.新建远程访问策略以域管理员帐户登录到VPN服务器上，打开“路由和远程访问”窗口，展开服务器，右击“远程访问策略”选项，在弹出的快捷菜单中选择“新建远程访问策略”命令，如图14-40所示，打开“新建远程访问策略向导”对话框。单击“下一步”按钮，出现“策略配置方法”界面，指定向导创建策略还是自定义创建策略，此处选中“设置自定义策略”单选按钮，在“策略名”文本框中输入策略名“vpn策略”，如图14-41所示。上一页下一页返回任务二配置远程访问策略2.添加远程访问策略条件单击“下一步”按钮，出现如图14-42所示的“策略状况”界面，设置远程访问策略的条件。单击“添加”按钮，弹出“选择属性”对话框，选择要配置的条件属性“Day-And-Time-Restrictions”，如图14-43所示，该选项表示每周允许用户连接的时间和日期。单击“添加”按钮，弹出“时间限制”对话框，选择允许建立VPN连接的时间和日期，如图14-44所示时间为每周一到周五的9:00—18:00。3.添加远程访问策略条件单击“确定”按钮，返回“选择属性”对话框，再选择“Windows-Groups”选项，如图14-45所示，该选项表示允许建立VPN连接的Windows群组。单击“添加”按钮，弹出“组”对话框，如图14-46所示，在该对话框中选择建立VPN连接的群组。上一页下一页返回任务二配置远程访问策略单击“添加”按钮，弹出“选择组”对话框，在“输入对象名称来选择”文本框中输入“DomainUsers”，如图14-47所示。单击“确定”按钮，弹出“组”对话框，如图14-48所示，可以看到该对话框中已经添加了群组，这样一来，只有该组用户才能使用远程访问策略连接到VPN服务器。单击“确定”按钮，返回如图14-49所示的“策略状况”界面，可以看到当前已经添加了两个策略条件。4.授权远程访问权限单击“下一步”按钮，出现“权限”界面，指定连接访问权限是允许还是拒绝，此处选中“授予远程访问权限”单选按钮，如图14-50所示。上一页下一页返回任务二配置远程访问策略5.设置远程访问策略配置文件单击“下一步”按钮，出现如图14-51所示的“配置文件”界面，可以开始编辑配置文件。单击“编辑配置文件”按钮，弹出“编辑拨入配置文件”对话框，可指定远程访问策略的配置文件。打开“拨入限制”选项卡，设置拨入限制属性，如连接时间、号码和媒体访问。选中“在断开前服务器可以保持为空闲的分钟数（空闲超时）”复选框，并在文本框中输入5；选中“客户端可以连接的时间（会话超时）”复选框，并在文本框中输入50，如图14-52所示。打开IP选项卡，可以设置IP属性，如指定IP地址分配和IP筛选，如图14-53所示。打开“多重链接”选项卡，配置多重链接属性，如启用多重链接并设置最大端口数以及设置BAP策略，如图14-54所示。上一页下一页返回任务二配置远程访问策略打开“身份验证”选项卡，设置身份验证属性，启用连接允许的身份验证方法并指定必须使用的EAP类型，如图14-55所示。打开“加密”选项卡，设置加密级别，分别选中“基本加密（MPPE40位）”、“增强加密（MPPE56位）”、“最强加密（MPPE128位）”及“无加密”复选框，如图14-56所示。打开“高级”选项卡，设置高级属性并指定由RADIUS发回，已由RADIUS客户端评估的一系列RADIUS属性，如图14-57所示。单击“添加”按钮，弹出“添加属性”对话框，选择“Ignore-User-Dialin-Properties”选项，如图14-58所示。单击“添加”按钮，弹出“布尔属性信息”对话框，在“选择属性值”选项区域中选中“假”单选按钮，如图14-59所示。上一页下一页返回任务二配置远程访问策略单击“确定”按钮，返回如图14-60所示的“高级”选项卡中，可以看到已经添加了一条高级属性值。单击“确定”按钮。弹出“正在完成新建远程访问策略向导”对话框，单击“确定”按钮，返回如图14-61所示的“路由和远程访问”窗口，可以看到新建的策略在最上面。6.提升域功能级别为WindowsServer2003默认情况下，WindowsServer2003系统的域功能级别是Windows2000混合模式，在这种模式下无法设置用户使用远程访问策略，所以需要将域功能级别更改为Windows2000纯模式或WindowsServer2003。以域管理员帐户登录到域控制器上，选择“开始”→“程序”→“管理工具”→“ActiveDirectory用户和计算机”命令，打开“ActiveDirectory用户和计算机”窗口，右击域名“”，在弹出的快捷菜单中选择“提升域功能级别”命令，如图14-62所示。上一页下一页返回任务二配置远程访问策略弹出如图14-63所示的“提升域功能级别”对话框，当前域功能级别是Windows2000混合模式，可以更改的域功能级别是Windows2000纯模式和WindowsServer2003两种。选择“WindowsServer2003”选项，单击“提升”按钮，弹出如图14-64所示的警告信息，表示更改域功能级别后无法还原。单击“确定”按钮，出现如图14-65所示的对话框，表示域功能级别已经更改。上一页下一页返回任务二配置远程访问策略7.设置用户远程访问权限在域控制器上，打开“ActiveDirectory用户和计算机”窗口，创建域用户user1@，并在其属性对话框中设置该用户只隶属于DomainUsers组，如图14-66所示。打开“拨入”选项卡，在“远程访问权限（拨入或VPN）”选项区域选中“通过远程访问策略控制访问”单选按钮，如图14-67所示，设置完毕单击“确定”按钮。接着设置用户administrator@，使其不隶属于DomainUsers组，效果如图14-68所示。在用户administrator@属性对话框中打开“拨入”选项卡，在“远程访问