7.1?? 遠程訪問概述

通過將“路由和遠程訪問”配置為遠程訪問服務器，可以將遠程或移動工作人員連接到組織網絡上。遠程用戶可以像計算機物理地連接到網絡上一樣工作。 用戶運行遠程訪問軟件，并初始化到遠程訪問服務器上的連接。遠程訪問服務器，即運行“路由和遠程訪問”的服務器，會始終驗證用戶和服務會話，直到用戶或網絡管理員將其終止為止。那些在一般情況下適用于 LAN 連接用戶的所有服務（包括文件和打印共享、Web 服務器訪問和消息）均通過遠程訪問連接啟用。 遠程訪問客戶端使用標準工具來訪問資源。例如，在運行“路由和遠程訪問”的服務器上，客戶端可以使用 Windows 資源管理器來進行驅動器連接，并連接到打印機上。連接是持久的：在遠程會話期間，用戶不需要重新連接到網絡資源上。因為對于驅動器標識字母和通用命名約定 (UNC) 所命名的名字，遠程訪問都支持，所以大多數商業和自定義應用程序不許要修改就可以使用。 運行“路由和遠程訪問”的服務器可以提供兩個不同類型的遠程訪問連接。

• 撥號網絡（dial-up network） 通過使用遠程通信提供商（例如模擬電話、ISDN 或 X.25）提供的服務，遠程客戶端使用非永久的撥號連接到遠程訪問服務器的物理端口上，這時使用的網絡就是撥號網絡。撥號網絡的最佳范例是撥號網絡客戶端使用撥號網絡撥打遠程訪問服務器某個端口的電話號碼。
  模擬電話線上或 ISDN 的撥號網絡，是撥號網絡客戶端和撥號網絡服務器之間的直接的物理連接。可以加密通過該連接發送的數據，但并不要求一定這樣做。
• 虛擬專用網（×××—virtual private network） 虛擬專用網是穿越專用網絡或公用網絡（如 Internet）的、安全的、點對點連接的產物。虛擬專用網客戶端使用特定的，稱為隧道協議的基于 TCP/IP 的協議，來對虛擬專用網服務器的虛擬端口進行依次虛擬呼叫。虛擬專用網的最佳范例是，虛擬網絡客戶端使用虛擬專用網連接連接到與 Internet 相連的遠程訪問服務器上。遠程訪問服務器應答虛擬呼叫，驗證呼叫方身份，并在虛擬專用網客戶端和企業網絡之間傳送數據。
  與撥號網絡相比，虛擬專用網始終是通過公用網絡（如 Internet）在虛擬專用網客戶端和虛擬專用網服務器之間的一種邏輯的、非直接的連接。要保證隱私權，必須加密在連接上傳送的數據。

7.2?? ×××概述

隨著網絡，尤其是網絡經濟的發展，企業規模日益擴大，客戶分布日益廣泛，合作伙伴日益增多，在這種情況下，傳統企業網基于定地點的專線連接方式，已難以適應現代企業的需求。于是企業在自身的靈活性、安全性、經濟性、擴展性等方面提出了更高的要求。虛擬專用網（×××）以其獨具特色的優勢，贏得了了越來越多的企業的青睞。 有研究機構表明，如果企業采用×××替代租用DDN專線，其整個網絡成本可節約21%—45%，若替代撥號連網方式，可節約通信成本上50%—80%，×××的優勢顯而易見。 虛擬專用網（×××）代表了當今網絡發展的新趨勢，它綜合了傳統數據網絡的性能優點（安全和Qos）和共享數據網絡結構的優點（簡單和低成本），能夠提供遠程訪問，內外網的連接，在降低成本的同時滿足了對網絡帶寬、接入和服務不斷增加的需求，因此，×××必將成為未來企業傳輸業務的主要工具。 在Windows server 2003中，我們可以使用“路由和遠程訪問”以配置 ××× 服務器、查看已連接的用戶及監視遠程訪問通信。 對于從 Internet 上訪問虛擬專用網，通常情況下，服務器具有到 Internet 的永久性連接。如果 Internet 服務提供商 (ISP) 支持請求撥號連接，則可能存在到 Internet 上的非永久性連接；在將通信傳遞給 ××× 服務器時創建連接。然而，這不是常規配置。如果 ××× 服務商提供對網絡的訪問，則必須安裝獨立的網絡適配器，并將其連接到 ××× 服務器提供訪問的網絡上。 在 Windows Server?2003 Web Edition 和 Windows Server?2003 Standard Edition 上，您最多可以創建 1,000 個點對點隧道協議 (PPTP) 端口，最多可以創建 1,000 個兩層隧道協議 (L2TP) 端口。但是，Windows Server?2003 Web Edition 一次只能接收一個虛擬專用網 (×××) 連接。而Windows Server?2003 Standard Edition 最多可以接受 1,000 個并發的 ××× 連接。如果已經連接了 1,000 個 ××× 客戶端，則其他連接嘗試將被拒絕，直到連接數目低于 1,000 為止。

7.2.1 ×××的組件<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

一個虛擬專用網包括以下組件：

• 虛擬專用網 (×××) 服務器 可以配置 ××× 服務器以提供對整個網絡的訪問，或限制僅可訪問作為 ××× 服務器的計算機的資源
• ××× 客戶端 ××× 客戶端是獲得遠程訪問 ××× 連接的個人用戶或獲得路由器到路由器 ××× 連接的路由器。運行 Windows Server?2003 家族產品、Windows?XP、Windows?2000、Windows?NT?4.0、Windows?95、Windows?98 或 Windows Millennium Edition 的 ××× 客戶端可以創建到 ××× 服務器的遠程訪問 ××× 連接。運行 Windows Server?2003 家族產品、Windows?2000 和“路由和遠程訪問”或 Windows?NT Server?4.0 和“路由和遠程訪問服務 (RRAS)”的計算機可創建路由器到路由器的 ××× 連接。××× 客戶端也可以是任何點對點隧道協議 (PPTP) 客戶端或使用 Internet 協議安全性 (IPSec) 的第二層隧道協議 (L2TP) 客戶端。
• LAN 和遠程訪問協議 應用程序使用 LAN 協議傳輸信息。遠程訪問協議用于協商連接，并為通過廣域網 (WAN) 鏈接發送的 LAN 協議數據提供組幀。“路由和遠程訪問”支持 PPP 遠程訪問協議。Windows Server?2003 Datacenter Edition、Windows Server?2003 Enterprise Edition、Windows Server?2003 Web Edition 和 Windows Server?2003 Standard Edition 都支持諸如 TCP/IP 和 AppleTalk 的 LAN 協議，用這些協議可以訪問 Internet、UNIX、Apple Macintosh 和 Novell NetWare 資源。
• 隧道協議 ××× 客戶端通過使用 PPTP 或 L2TP 隧道協議，可創建到 ××× 服務器的安全連接。
• WAN 選項 通過使用諸如 T1 和“幀中繼”的永久性 WAN 連接，將 ××× 服務器連接到 Internet。通過使用永久性 WAN 連接，或撥入（使用標準模擬電話線或 ISDN）到本地 Internet 服務提供商 (ISP)，將 ××× 服務器連接到 Internet。
• 安全選項 “路由和遠程訪問”通過支持登錄和域安全，以及對安全主機、數據加密、智能卡、IP 數據包篩選和呼叫器 ID 的支持來為 ××× 客戶端提供安全網絡訪問。

<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />7.2.2 ×××隧道協議

×××的隧道協議包含：

• 點對點隧道協議 PPTP 是點對點協議 (PPP) 的擴展，并協調使用 PPP 的身份驗證、壓縮和加密機制。PPTP 的客戶端支持內置于 Windows?XP 遠程訪問客戶端。其是在 Windows?NT?4.0 和 Windows?98 中首次被支持的隧道協議。
  PPTP 的 ××× 服務器支持內置于 Windows Server 2003 家族的成員。PPTP 與 TCP/IP 協議一同安裝。根據運行“路由和遠程訪問服務器安裝向導”時所做的選擇，PPTP 可以配置為 5 個或 128 個 PPTP 端口。
  PPTP 和 Microsoft“點對點加密 (MPPE)”提供了對專用數據封裝和加密的主要 ××× 服務。
• 第二層隧道協議 第二層隧道協議 (L2TP) 是基于 RFC 的隧道協議，該協議是一種業內標準，首次是在 Windows?2000 客戶端和服務器操作系統中所支持。與 PPTP 不同，運行 Windows Server 2003 的服務器上的 L2TP 不利用 Microsoft 點對點加密 (MPPE) 來加密點對點協議 (PPP) 數據報。L2TP 依賴于加密服務的 Internet 協議安全性 (IPSec)。L2TP 和 IPSec 的組合被稱為 L2TP/IPSec。L2TP/IPSec 提供專用數據的封裝和加密的主要虛擬專用網 (×××) 服務。
  ××× 客戶端和 ××× 服務器必須支持 L2TP 和 IPSec。L2TP 的客戶端支持內置于 Windows?XP 遠程訪問客戶端，而 L2TP 的 ××× 服務器支持內置于 Windows Server 2003 家族的成員。

7.2.3 ×××連接

×××通過Internet而不是通過直接的撥號連接，來提供安全的遠程訪問。×××客戶機利用專用網絡上的一個×××網關，采用IP互聯網來創建加密的、虛擬的、點對點連接。

通常，用戶通過因特網服務提供商（ISP—Internet service provider）連接到因特網，然后再創建一個到×××網關的連接。按照這種方式來使用因特網，公司就可以降低他們的長途話費，可以依賴現有的網絡基礎，而不用再重新建立他們的基礎結構。

×××協議將數據包封裝進PPP數據包。遠程訪問服務器執行所有的安全性檢查及核實，并且利用數據加密功能，這樣使得通過不安全的網絡（如因特網）發送數據也是比較安全的。

7.2.4 客戶機IP地址的分配方式

當你通過配置×××，使之讓客戶使用撥號網絡連接到公司網絡時，×××服務器會為自己和客戶均重新分配一個用于通信的IP地址。

你可以選擇下列選項中的一種，來確定客戶機接收IP地址的方式。

• 靜態的IP地址（Static IP Address）由管理員在用戶的“撥入”屬性中進行手動的設置。你需要保證該IP地址對于客戶的網絡連接是有效的，并且保證沒有其它客戶機使用了這個相同的地址。鑒于此，建議對于撥叼網絡不使用靜態的IP地址。
• 來自一個IP地址范圍（From a Range of IP Addresses）由管理員在×××服務器中添加一個有足夠數目并可供分配的IP地址范圍。
• 從DHCP服務器獲取（From the DHCP Server）×××服務器可以從網絡中某個DHCP服務器獲取IP地址，默認的情況下每次會從DHCP服務器處獲取10個地址，并總是把第一個IP地址分配給自己，其余的IP地址分配給遠程撥入用戶。當用完了這10個IP后，×××服務器會再從DHCP服務器處獲取10個IP地址以分配給撥入的客戶。

7.3?? ×××的配置

7.3.1 企業背景

你的公司有一些雇員，他們出差到了較遠的地方。你沒有足夠的資源來建立一個全球范圍的網絡，以便允許撥號連接到這些地方。這樣你就準備在因特網上配置一個×××服務器，從而可以讓員工通過×××連接來連接到你的網絡上。

7.3.2 配置步驟

l???在服務器上創建入站連接

l? ??配置用戶的撥入權限

l? ??在客戶端創建出站連接

l? ??建立并斷開連接

?

7.3.2.1 在服務器上創建入站連接

當你在遠程訪問服務器（如×××服務器）上配置入站連接時，就會啟用一個端口，通過該端口，客戶機可以連接到你的服務器。

配置步驟如下：

1、以管理員身份登錄到一臺運行Windows Server?2003 Enterprise Edition版的服務器上，在“管理工具”，選擇“路由和遠程訪問”。 2、在控制臺樹中，右擊服務器名稱，再單擊“配置并啟用路由和遠程訪問”。然后啟動“ 路由和遠程訪問”。 3、在“配置并啟用路由和遠程訪問向導“頁中，單擊“下一步”，進入“配置”頁。在此頁， “遠程訪問和服務器”為我們列出了可以選擇的的各種服務，在這里，我們應該項選擇的是“遠程訪問（撥號或×××）”，單擊“下一步”。 4、在“遠程訪問”頁中選區中“×××”。單擊“下一步”。 5、在接下來的網絡連接接口選擇中，根據實際的連接選擇正確的連接內網和外網的網絡適配器。 6、在“IP地址指定”頁中，選擇“來自一個指定的地址范圍”，然后單擊“下一步”。 7、在“地址范圍指定”頁中，建立地址靜態池。點擊“新建”，輸入地址靜態池起始和結束的IP地址，這些IP地址將用于分配給撥入的客戶機。地址池可以建立多個子網的IP范圍，然后單擊“下一步”。 8、在“管理多個遠程訪問服務器”頁中，在不設置此服務器使用RADIUS的情況下，單擊“下一步”。 9、按默認設置來完成路由和遠程訪服務器安裝向導。

10、在“路由和遠程訪問”控制臺中，右擊服務器下拉菜單中的“端口”，然后單擊“屬性”。×××默認的PPTP和L2TP協議的端口數均為128個，在這里可以根據企業實際要求進行修改，如修改為5個。

7.3.2.2配置用戶的撥入權限

為了讓遠程用戶能夠撥入，你必須在服務器端為之建立一個帳戶，并允許其以某種方式進行撥入連接。 配置步驟如下： 1、以管理員身份登錄到×××服務器，在“管理工具”中打開“計算機管理”（如在域中，則需打開“活動目錄用戶和計算機”）。并為將要撥入的用戶創建一個用戶帳號（如用戶名為U1）。 2、在用戶“屬性”對話框中，選中“撥入”選項卡，在“遠程訪問權限”的設置值中選中“允許訪問”單選框。

7.3.2.3在客戶端創建出站連接

出站連接是那些從客戶端到服務器的連接。具體的配置步驟如下： 1、以管理員身份登錄到一臺客戶機，右鍵桌面上的“網上鄰居”圖標，然后單擊“屬性”。

2、在“網絡和撥號連接”窗口中，雙擊“新建立連接向導”。在“網絡連接類型”頁中選中“連接到我的工作場所”單選框，然后單擊“下一步”按鈕。

3、在接下來的步驟中，按要求輸入公司的名稱COP和電話號碼。

4、在“目標地址”頁中，輸入×××服務器的IP地址，然后單擊“下一步”按鈕。

5、如果想要這一連接可用于這臺計算機的所有用戶，請單擊“用于所有用戶”，然后單擊“下一步”按鈕。 6、按默認設置完成用戶出站連接的配置，并在桌面上創建一個出站連接的快捷圖標。

7.3.2.4建立并斷開連接

在服務器端我們完成了入站連接，并對用戶分配了撥入權限，在客戶端我們也完用戶建立了撥出連接，使遠程用戶可以通過這個出站連接連接到公司的×××服務器。現在我們以下面步驟對上面的配置作一個驗證。 1、登錄到已配置了出站連接的客戶機上，右鍵桌面上的“網上鄰居”圖標，然后單擊“屬性”。

2、在“網絡和撥號連接”窗口中，右鍵單擊“虛擬專用網絡”圖標，在彈出的下攔菜單中選中“連接”。出現正在注冊你的計算機的消息框。

3、在連接成功后，會在任務欄的右下方產生一個小圖標，并指示×××連接已經成功。

4、在命令提示符下，鍵入ipconfig，然后按Enter 鍵。可以看到網絡和撥號連接PPP adapter 的相關信息。可以看到獲取了一個PPP adapter的IP地址。（在服務器端也可用個命令查看是否也獲取了一個PPP adapter地址）

5、仔細比較，看服務器將那個IP分配給了自己，將哪些IP分配給了客戶。

6、用Ping命令ping服務器端分配的PPP adapter的IP地址，也可用之訪問服務器上的共享資源。

7、在任務欄的系統方格中，雙擊連接圖標。

8、在“虛擬專用連接狀態”對話框中，單擊“斷開連接”。

9、關閉所有打開的窗口。

?

轉載于:https://blog.51cto.com/yaozefeng/294543

總結

以上是生活随笔為你收集整理的配置×××服务器的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。