本文出自 “叶俊生” 博客,请务必保留此出处http://yejunsheng.blog.51cto.com/793131/175814

 
200390
安装完成windows server 2003后里面就有一项叫做路由和远程访问 通过开始--程序--管理工具--按路由和远程问 假如现在***服务器和域控制器就在北京 由于公司派我去上海那边 如果我想访问公司内部的信息的话 我只能通过***连接到公司内部网络来访问内部信息
200391
对着***服务器右键--选择配置并启用路由和远程访问 这个时候就看到欢迎使用路由和远程访问服务器安装向导 接着下一步
200392
这一步就选择远程访问(拨号或***)吧 接着下一步
200393
这里有二项 一项是*** 一项是是用调制解调器拨号 因为网速太慢 现在已经被用不上了 我就选择第一项(***)吧 接着下一步
200394
上面标着 要允许***客户端连接到此服务器,至少要有一个网络接口连接到Internet 这里面有二块网卡应该选择那一块呢? 因为我那台***client的IP地址为192.168.2.8 要保持两台计算机能够访问 所以就选择本地连接2吧 就是说把本地连接2看成一块公网的网卡 如果你把通过设置静态数据包筛选器来对选择的接口进行保护沟上的话 公网上的那些客户端是无法ping通你的外网网卡的 我先把它沟上吧 接着下一步
200395
如果你内网有DHCP服务器的话 你可以选择自动 我就选择来自一个指定的地址范围吧 因为这样会更好控制那些***客户端的所拿的IP地址范围 接着下一步
200396
按新建 我就输入192.168.3.10作为起始IP地址 192.168.3.100作为结束IP地址吧 总共是91个地址 按确定 接着下一步
200397
这一步它问你是否想使用RADIUS服务器 我选择否吧 接着下一步
200398
这是最后一步了 按完成就ok了
200399
我现在来到一台客户端 对着网上邻居右键--选择属性--按创建一个新的连接 接着下一步
2003100
如果是在家通过ADSL上网的话 我们通常选择到Internet 这里我就选择连接到我的工作场所的网络 接着下一步
2003101
这一步就选择虚拟专用网络连接 接着下一步
2003102
公司名根据自己在那家公司工作就输入那家公司的名称 我输入Microsoft吧 接着下一步
2003103
这一步填的是那台***服务器公网网卡上的公网IP地址 由于我现在是虚拟出来的 我那台***服务器的IP地址就为192.168.2.6 我就输入192.168.2.6作为IP地址吧 接着下一步
2003104
如果想在我的桌面上添加一个到此连接的快捷方式就沟上 按完成就ok了
2003105
这个用户名和密码就是输入你在公司内部域环境下用的用户名和密码 也就是说这个用户名和密码就是存储在你公司域控制器那台计算机里面的用户名和密码 我这里就输入administrator了 按连接
2003106
马上报了一个错误 说本账户没有拨入的权限 为什么呢? 我现在到域控制器那台计算机看一下
2003107
通过开始--运行--输入dsa.msc按确定来打开Active Directory 用户和计算机 按Users 因为我刚才所拨的用户是administrator 所以对着administrator右键--按属性--按拨入 远程访问权限(拨入或***)那一项 默认是拒绝访问 我现在选择允许访问 按确定 然后再到***客户端拨一下看看能不能连接上
2003108
大家看到了吗?在右下角显示Microsoft现在已连接 现在已经成功用***拨入了
2003109
在拨入那一项里面有几项是灰色的 为什么是灰色的呢? 因为当前域功能级别是Windows 2000 混合模式 对着域名右键--选择提升域功能级别 可以提升成windows server 2003 也可以提升成Windows 2000 纯模式 我现在把它提升到Windows 2000纯模式吧 按提升
2003110
注意:这个过程有一个提示 说提升域功能级别后,你可能无法还原 就是说是单向的 不能再降回windows 2000 混合模式了
2003111
验证呼叫方ID就是说当你拨入那台***服务器的时候使用的电话号码是多少 如果选择总是回拨到 就是说通过拨号的方式访问到服务器的时候 只要连接一通 接着线路被挂断 由服务器端反拨回来 这样就由服务器那边花钱了 客户端这边就不用再花钱了
2003112
对着***服务器右键--选择属性--按IP 我刚才设置的就是凡是客户端拨入使用的IP地址都是192.168.3这个网段的 但是我内网是192.168.1 模拟公网的那个网段是192.168.2 那么192.168.1和192.168.3这两个网段能够通讯 一定有路由功能被开起
2003115
按远程访问策略--里面有二项 到Microsoft路由 到其它访问服务器 比如我现在限制用户4点到18点这个时候不能拨入 里面有许多项都可以设置的
2003116
按远程访问策略 在里面空白处右键--选择新建远程访问策略 接着下一步
2003117
这一步我就选择设置自定义策略 策略名就叫做all吧 接着下一步
2003118
按添加 我现在添加一个Day-And-Time-Restrictions 星期一到星期三早上8点到下午18点才能拨入 一个Windows-Groups 必需是Domaim Admins组才能拨入 就是说客户端要同时满足这两个条件才能拨入 接着下一步
2003119
这一步我就先选择授予远程访问权限吧 接着下一步
2003120
这里我们可以去自定义配置文件 然后让客户端来满足我配置文件里面的设置 我就保持默认的配置文件吧 按确定
2003121
这是最后一步了 按完成就ok了
2003122
这里面的三条策略 当用户满足第一条策略时 就不会再去找那二条策略了
2003123
我现在来到域控制器这台计算机 在拨入那一项 选择通过远程访问策略控制访问 按确定
2003124
我现在来到***服务器这台计算机 在命令提示符下输入ipconfig /all 按回车键可以看到多出一项ppp adapter RAS Server <Dial In > Interface: 可以看到一个192.168.3.10的IP地址 这个IP地址是拿给它自己使用 并且在远程访问客户端那一项里面可以看到当前那个用户已经登录上
2003125
如何限制有多少人可以拨入呢? 对着端口右键--选择属性 比如我现在改PPTP 按配置 在最多端口数里面输入你要限制的数目 按确定就ok了
2003128
我现在来到域控制器这台计算机 通过添加/删除Windows组件里面--按网络服务--按详细信息 把Internet验证服务沟上 按确定
接着下一步 安装完成这个组件后 这台DC就变成IAS服务器了 或者叫做RADIUS服务器
2003129
通过开始--程序--管理工具--按Internet验证服务
2003130
对着RADIUS客户端右键--选择新建RADIUS客户端 名称就输入***ServerBeiJing吧 我那台***服务器的IP地址是192.168.1.5所以就在这里输入192.168.1.5 接着下一步
2003131
这个共享机密就是我要配***服务器的时候 使它变成RADIUS客户端 也要填这个共享机密 按完成就ok了
2003132
对着***服务器右键--选择属性--按安全--在身分验证提供程序那一项选择RADIUS身份验证--按添加--在服务器名里面输入那台RADIUS服务器的IP地址--按更改--输入在RADIUS服务器那边输入的密码 按确定 现在已经使***服务器变成RADIUS客户端了
2003133
在记账提供程序那一项也可以选择RADIUS记账 按配置--按添加--在服务器名里面--输入那台RADIUS服务器的IP地址--按更改--输入那台RADIUS服务器的密码--按确定 这样就把那些记录都存储在RADIUS服务器那边了
2003134
按远程访问记录--双击本地文件-- 所有的记录都是存储在c:\WINDOWS\system32\LogFiles路径下 里面的那些选项是根据自己的需要进行设置的 按确定