接下來我們必須先將網(wǎng)絡管理服務器安裝起來。請在開啟系統(tǒng)管理工具選單中的“服務器管理員”接口以及在點選“角色”項目節(jié)點之后,點選“新增角色”連接。緊接著,將會出現(xiàn)“選取服務器角色”頁面,勾選“網(wǎng)絡原則與存取服務”項目,接下來在“選取角色服務”頁面中,惟一勾選“網(wǎng)絡原則服務器”的角色服務項目即可。
圖2 勾選遠程訪問服務
接下來我們對裝有Windows Server 2008的VPN服務器進行安裝與設置,在開始之前,必須先確認您已經(jīng)完成這部服務器加入與登錄到了內(nèi)部的Active Directory網(wǎng)域中,并且已經(jīng)正確設定了內(nèi)外網(wǎng)卡的TCP/IP地址。
接下來請開啟位于“開始→系統(tǒng)管理工具”下拉選單中的“服務器管理員”,然后在點選“角色”項目之后,點選位于主頁面中的“新增角色”,執(zhí)行后將會開啟如圖2所示的“選取服務器角色”頁面,在此頁面中勾選“網(wǎng)絡原則與存取服務”項目,點選兩次“下一步”繼續(xù)。
在“選取角色服務”頁面中,將惟一在“路由及遠程訪問服務”項目下的“遠程訪問服務”組件勾選安裝即可。
完成遠程訪問服務角色安裝之后,我們開始設定VPN服務器的各項設置。請在“開始→執(zhí)行”對話框中輸入rrasmgmt.msc,來開啟“路由及遠程訪問”操作接面。在開啟“路由及遠程訪問”界面之后,請在本地服務器的節(jié)點項目上點擊鼠標右鍵,選擇“設定和啟用路由及遠程訪問”繼續(xù)。
在“設定”頁面中,選擇“遠程訪問”項,然后在“遠程訪問”頁面中,勾選“VPN”項目。在“VPN聯(lián)機”頁面中,選取對外提供VPN網(wǎng)絡聯(lián)機的網(wǎng)絡接口,并且記著將“設定靜態(tài)封包篩選器來啟用選擇接口的安全性”項目取消默認的勾選。
在“IP地址設置”頁面中,可以選擇勾選采用內(nèi)部已經(jīng)存在的DHCP服務器來配置IP地址給遠程客戶端計算機,或是選擇“從指定范圍的地址”來讓VPN服務器幫助我們自動配置,因此如果您選擇了這個選項,緊接著在下一步的頁面中設定一個IP地址范圍。接下來在“正在管理多個遠程訪問服務器”的頁面中,選擇“是,設定這臺服務器與Radius服務器一起工作”項。
圖3 通訊協(xié)議及端口設定
在“Radius服務器選取項目”的頁面中,我們必須在“主要的Radius服務器”字段中,輸入Radius服務器的IP地址,然后在下方的共享密碼字段中,輸入與后續(xù)在Radius客戶端設定時所配置的密碼一樣即可。
在VPN服務器高級設置部分,請在點選VPN服務器節(jié)點之后,按下鼠標右鍵,點選“內(nèi)容”,接著請切換到“安全”頁面中,點選“驗證方法”,然后在此窗口中確認“可延伸的驗證通訊協(xié)議(EAP)”項目與“Microsoft加密驗證版本2(MS-CHAP v2)”的項目已經(jīng)選取。最后請點選“EAP方法”按鈕,然后確認“Protected EAP(PEAP)”項目已經(jīng)安裝。
3.VPN與Windows防火墻的整合設定
完成了VPN服務器的設置之后,為了確保主機本身的安全性,我們通常會將系統(tǒng)內(nèi)建的Windows防火墻給予啟用,如此一來,雖然系統(tǒng)會自動讓VPN的客戶端可以聯(lián)機,但是如果在我們進行聯(lián)機之前,可以確定VPN客戶端與VPN服務器的基本聯(lián)機是沒有問題的,那么將有助于在聯(lián)機測試上的排錯工作。
確認VPN客戶端與VPN服務器的基本聯(lián)機沒有問題的最佳方法,就是通過Ping命令來進行測試,因此在接下來我們針對VPN服務器上的Windows防火墻設置,來開放ICMPv4的通訊協(xié)議與通訊端口,以便于VPN客戶端可以接收到Ping測試時的正常聯(lián)機響應。請在高級安全性的Windows防火墻管理頁面,在位于“輸入規(guī)則”項目節(jié)點上點擊鼠標右鍵,選擇“新規(guī)則”繼續(xù)。接下來將會開啟“新增輸入規(guī)則向?qū)А钡捻撁妫紫仍凇耙?guī)則類型”頁面中選取“自定義”之后,在“程序”頁面中,選取“所有程序”。
接下來在“通訊協(xié)議及端口設定”頁面(如圖3),請在“通訊協(xié)議類型”頁面中選取“ICMPv4”,在“領域”頁面請保持在預設的設置。在“執(zhí)行動作→操作”的頁面中,請選取“允許該聯(lián)機”設定。在“配置文件”的頁面中,請保留預設的三項配置文件都在選取的狀態(tài)下即可。點選“下一步”繼續(xù)。最后請在“名稱”的頁面中輸入一個惟一的規(guī)則識別名稱即可。