安裝網(wǎng)絡(luò)原則服務(wù)器（NPS）角色

接下來我們必須先將網(wǎng)絡(luò)管理服務(wù)器安裝起來。請?jiān)陂_啟系統(tǒng)管理工具選單中的“服務(wù)器管理員”接口以及在點(diǎn)選“角色”項(xiàng)目節(jié)點(diǎn)之后，點(diǎn)選“新增角色”連接。緊接著，將會出現(xiàn)“選取服務(wù)器角色”頁面，勾選“網(wǎng)絡(luò)原則與存取服務(wù)”項(xiàng)目，接下來在“選取角色服務(wù)”頁面中，惟一勾選“網(wǎng)絡(luò)原則服務(wù)器”的角色服務(wù)項(xiàng)目即可。

圖2 勾選遠(yuǎn)程訪問服務(wù)

安裝設(shè)定VPN服務(wù)器

接下來我們對裝有Windows Server 2008的VPN服務(wù)器進(jìn)行安裝與設(shè)置，在開始之前，必須先確認(rèn)您已經(jīng)完成這部服務(wù)器加入與登錄到了內(nèi)部的Active Directory網(wǎng)域中，并且已經(jīng)正確設(shè)定了內(nèi)外網(wǎng)卡的TCP/IP地址。

接下來請開啟位于“開始→系統(tǒng)管理工具”下拉選單中的“服務(wù)器管理員”，然后在點(diǎn)選“角色”項(xiàng)目之后，點(diǎn)選位于主頁面中的“新增角色”，執(zhí)行后將會開啟如圖2所示的“選取服務(wù)器角色”頁面，在此頁面中勾選“網(wǎng)絡(luò)原則與存取服務(wù)”項(xiàng)目，點(diǎn)選兩次“下一步”繼續(xù)。

在“選取角色服務(wù)”頁面中，將惟一在“路由及遠(yuǎn)程訪問服務(wù)”項(xiàng)目下的“遠(yuǎn)程訪問服務(wù)”組件勾選安裝即可。

完成遠(yuǎn)程訪問服務(wù)角色安裝之后，我們開始設(shè)定VPN服務(wù)器的各項(xiàng)設(shè)置。請?jiān)凇伴_始→執(zhí)行”對話框中輸入rrasmgmt.msc，來開啟“路由及遠(yuǎn)程訪問”操作接面。在開啟“路由及遠(yuǎn)程訪問”界面之后，請?jiān)诒镜胤?wù)器的節(jié)點(diǎn)項(xiàng)目上點(diǎn)擊鼠標(biāo)右鍵，選擇“設(shè)定和啟用路由及遠(yuǎn)程訪問”繼續(xù)。

在“設(shè)定”頁面中，選擇“遠(yuǎn)程訪問”項(xiàng)，然后在“遠(yuǎn)程訪問”頁面中，勾選“VPN”項(xiàng)目。在“VPN聯(lián)機(jī)”頁面中，選取對外提供VPN網(wǎng)絡(luò)聯(lián)機(jī)的網(wǎng)絡(luò)接口，并且記著將“設(shè)定靜態(tài)封包篩選器來啟用選擇接口的安全性”項(xiàng)目取消默認(rèn)的勾選。

在“IP地址設(shè)置”頁面中，可以選擇勾選采用內(nèi)部已經(jīng)存在的DHCP服務(wù)器來配置IP地址給遠(yuǎn)程客戶端計(jì)算機(jī)，或是選擇“從指定范圍的地址”來讓VPN服務(wù)器幫助我們自動配置，因此如果您選擇了這個選項(xiàng)，緊接著在下一步的頁面中設(shè)定一個IP地址范圍。接下來在“正在管理多個遠(yuǎn)程訪問服務(wù)器”的頁面中，選擇“是，設(shè)定這臺服務(wù)器與Radius服務(wù)器一起工作”項(xiàng)。

圖3 通訊協(xié)議及端口設(shè)定

在“Radius服務(wù)器選取項(xiàng)目”的頁面中，我們必須在“主要的Radius服務(wù)器”字段中，輸入Radius服務(wù)器的IP地址，然后在下方的共享密碼字段中，輸入與后續(xù)在Radius客戶端設(shè)定時所配置的密碼一樣即可。

在VPN服務(wù)器高級設(shè)置部分，請?jiān)邳c(diǎn)選VPN服務(wù)器節(jié)點(diǎn)之后，按下鼠標(biāo)右鍵，點(diǎn)選“內(nèi)容”，接著請切換到“安全”頁面中，點(diǎn)選“驗(yàn)證方法”，然后在此窗口中確認(rèn)“可延伸的驗(yàn)證通訊協(xié)議（EAP）”項(xiàng)目與“Microsoft加密驗(yàn)證版本2（MS-CHAP v2）”的項(xiàng)目已經(jīng)選取。最后請點(diǎn)選“EAP方法”按鈕，然后確認(rèn)“Protected EAP（PEAP）”項(xiàng)目已經(jīng)安裝。

3.VPN與Windows防火墻的整合設(shè)定

完成了VPN服務(wù)器的設(shè)置之后，為了確保主機(jī)本身的安全性，我們通常會將系統(tǒng)內(nèi)建的Windows防火墻給予啟用，如此一來，雖然系統(tǒng)會自動讓VPN的客戶端可以聯(lián)機(jī)，但是如果在我們進(jìn)行聯(lián)機(jī)之前，可以確定VPN客戶端與VPN服務(wù)器的基本聯(lián)機(jī)是沒有問題的，那么將有助于在聯(lián)機(jī)測試上的排錯工作。

確認(rèn)VPN客戶端與VPN服務(wù)器的基本聯(lián)機(jī)沒有問題的最佳方法，就是通過Ping命令來進(jìn)行測試，因此在接下來我們針對VPN服務(wù)器上的Windows防火墻設(shè)置，來開放ICMPv4的通訊協(xié)議與通訊端口，以便于VPN客戶端可以接收到Ping測試時的正常聯(lián)機(jī)響應(yīng)。請?jiān)诟呒壈踩缘腤indows防火墻管理頁面，在位于“輸入規(guī)則”項(xiàng)目節(jié)點(diǎn)上點(diǎn)擊鼠標(biāo)右鍵，選擇“新規(guī)則”繼續(xù)。接下來將會開啟“新增輸入規(guī)則向?qū)А钡捻撁?，首先在“?guī)則類型”頁面中選取“自定義”之后，在“程序”頁面中，選取“所有程序”。

接下來在“通訊協(xié)議及端口設(shè)定”頁面（如圖3），請?jiān)凇巴ㄓ崊f(xié)議類型”頁面中選取“ICMPv4”，在“領(lǐng)域”頁面請保持在預(yù)設(shè)的設(shè)置。在“執(zhí)行動作→操作”的頁面中，請選取“允許該聯(lián)機(jī)”設(shè)定。在“配置文件”的頁面中，請保留預(yù)設(shè)的三項(xiàng)配置文件都在選取的狀態(tài)下即可。點(diǎn)選“下一步”繼續(xù)。最后請?jiān)凇懊Q”的頁面中輸入一個惟一的規(guī)則識別名稱即可。