配置VPN服务器+NPS服务器

配置×××服务器

环境：一台2008服务器，一台客户端

目的：通过外网访问公司内部

步骤：

1. 打开"服务器管理器"，点击"添加角色"。在"选择服务器角色"界面，选择"网络策略和访问服务"，然后点击"下一步"。如图所示：

1. 在"网络策略和访问服务简介"界面，直接点击"下一步"。

2. 在"选择角色服务"界面，选择"路由和远程访问服务"，然后点击"下一步"。如图所示：

1. 在"确认安装选择"界面，确认安装信息，然后点击"安装"。如图所示：

1. 查看安装进度。如图所示：

1. 安装成功。如图所示：

1. 在"管理工具"中打开"路由和远程访问"，右键服务器名，在弹出的菜单中，选择"配置并启用路由和远程访问"。如图所示：

1. 在欢迎界面，直接点击"下一步"。

2. 在"配置"界面，选择"远程访问（拨号或×××）"，然后点击"下一步"。如图所示：

1. 在"远程访问"界面，选择"×××"，然后点击"下一步"。如图所示：

   

2. 在"×××连接"界面，选择外网地址的网卡（本地连接2），然后点击"下一步"。如图所示：

   

3. 在"IP地址分配"界面，选择"来自一个指定的地址范围"，然后点击"下一步"。如图所示：

   

4. 在"地址范围分配"窗口中，点击"新建"。如图所示：

   

5. 在"在新建IPv4地址范围"窗口中，输入起始IP地址和结束地址，然后点击"确定"。如图所示：

   

6. 确定后，将显示输入的IP地址范围，然后点击"下一步"。如图所示：

   

7. 在"管理多个远程访问服务器"窗口中，选择"否，使用路由和远程访问来对连接请求进行身份验证"，然后点击"下一步"。如图所示：

   

8. 单击"完成"，完成路由和远程访问服务器的激活。如图所示：

   

9. 打开"管理工具"中的"路由和远程访问"管理窗口，此时服务器为启动状态，服务器的图标为绿色向上的箭头。展开节点，右键服务器名，在弹出的菜单中，选择"属性"。如图所示：

   

10. 在"属性"窗口中，选择"安全"选项卡，在"身份验证提供程序"处，点击下拉列表，选择"Windows身份验证"，然后点击"确定"。如图所示：

    

11. 在×××服务器上创建用户，然后右键用户名，在弹出的菜单中，选择"属性"。在"属性"窗口中，选择"拨入"选项卡，在"网络访问权限"处，选择"允许访问"，然后点击"确定"。如图所示：

    

12. 在客户端上配一个外网的IP地址，如图所示：

    

13. 打开客户端的"网络连接（网上邻居）"，在左侧窗口单击"创建一个新的连接"。如图所示：

    

14. 在"欢迎"界面，直接单击"下一步"。

15. 在"网络连接类型"窗口中，选择"连接到我的工作场所的网络"，然后点击"下一步"。如图所示：

    

16. 在"网络连接"窗口中，选择"虚拟专用网络连接"，然后点击"下一步"。如图所示：

    

17. 在"连接名"窗口中，输入公司名，然后点击"下一步"。如图所示：

    

18. 在"×××服务器选择"窗口中，输入×××服务器的外网卡的IP地址，然后点击"下一步"。如图所示：

    

19. 创建成功。如图所示：

    

20. 在"连接"窗口中，输入在×××服务器上创建的用户和密码，即可链接

     

    注：这是客户端直接通过×××服务器访问公司内部资源。

    搭建NPS服务器

环境：一台×××服务器（192.168.1.1），一台server 2008（192.168.1.2），一台客户端

目的：设置访问策略

步骤：

1. 添加角色"网络策略和访问服务器"。如图所示：

1. 在"网络策路和访问服务简介"界面，直接点击"下一步"。

2. 在"选择角色服务"窗口中，选择"网络策略服务器"，然后点击"下一步"。如图所示：

1. 确认安装信息，点击"安装"。

2. 查看安装进度。

3. 安装成功。如图所示：

1. 在"管理工具"中打开"网络策略服务器"管理窗口，展开节点，右键"RADIUS客户端"，在弹出的菜单中，选择"新建RADIUS客户端"。如图所示：

1. 在"新建RADIUS客户端"窗口中，输入友好名称、×××服务器的IP地址、共享机密，然后点击"确定"。如图所示：

1. 右键"连接请求策略"，在弹出的菜单中，选择"新建"。如图所示：

1. 在"指定连接请求策略名称和连接类型"窗口中，输入策略名称、网络访问服务器的类型，然后点击"下一步"。如图所示：

1. 在"指定条件"窗口中，点击"添加"。如图所示：

1. 在"选择条件"窗口中，在这里举例，选择"日期和时间限制"，然后点击"添加"。如图所示：

1. 在"日期和时间限制"窗口中，先框住要选择的时间点，然后选择"允许"。如图所示：

1. 在"指定连接请求转发功能"窗口中，选择"在此服务器上对请求进行身份验证"，然后点击"下一步"。如图所示：

1. 在"指定身份验证方法"窗口中，不改变设置，点击"下一步"。如图所示：

1. 在"配置设置"窗口中，使用默认设置，直接点击"下一步"。如图所示：

1. 在"正在完成连接请求策略向导"窗口中，点击"完成"。如图所示：

1. 在"网络策略服务器"窗口中，右键新建的"连接请求策略"，在弹出的菜单中，选择"上移"，移置第一位。如图所示：

1. 右键"网络策略"，在弹出的菜单中，选择"新建"。如图所示：

1. 在"指定网络策略名称和连接类型"界面中，输入策略名称、网络访问服务器的类型，然后点击"下一步"。如图所示：

1. 在"指定条件"窗口中，设定的条件与连接请求策略的条件相同，然后点击"下一步"。如图所示：

1. 在"指定访问权限"窗口中，选择"已授权访问权限"，然后点击"下一步"。如图所示：

1. 在"配置身份验证方法"界面中，确保选择了"Microsoft加密身份验证版本2"，然后点击"下一步"。如图所示：

1. 在"配置约束"界面中，使用默认设置，然后点击"下一步"。如图所示：

1. 在"配置设置"界面中，使用默认设置，然后点击"下一步"。如图所示：

1. 在"正在完成新建网络策略"界面中，点击"完成"。如图所示：

1. 在"网络策略服务器"窗口中，右键新建的"网络策略"，在弹出的菜单中，选择"上移"，移置第一位。如图所示：

1. 打开×××服务器的"路由和远程访问"控制台，右键服务器名，在弹出的菜单中，选择"属性"。在"属性"窗口中，选择"安全"选项卡，在"身份验证提供程序"下拉列表框中选择"RADIUS身份验证"，然后点击"确定"。如图所示：

1. 点击"配置"，在"RADIUS身份验证"窗口中，点击"添加"。如图所示：

1. 在"添加RADIUS服务器"窗口中，输入RADIUS服务器的地址与共享机密，共享机密是在搭建RADIUS服务器是设置的，然后点击"确定"。如图所示：

1. 在RADIUS服务器重新创建用户，如图所示：

1. 创建用户后，就可以在客户端上访问公司内部资源了。

注：搭建RADIUS服务器时，要与×××服务器分开搭建，然后用户得在RADIUS服务器上重新创建，才能正常访问。