Windows Server 2008R2 ***
1,PPTP ***
(1),首先安装好“网络策略和访问服务”。
当“路由和远程访问服务”向DHCP服务器租用Ip地址时,并无法获得DHCP选项设置,除非***服务器这台计算机本身也扮演“DHCP中继代理”的角色(我这里就是)。
***客户端的用户在连接***服务器时,可以使用***服务器的本地用户或Active Directory用户账户来连接:
1,若使用***服务器的本地用户账户:则直接由***服务器通过其本地安全数据库来验证用户(检查用户名和密码是否正确)。
2,若使用Active Directory用户账户:若***服务器有加入域,则***服务器会通过域控制器的AD数据库来验证用户;若***服务器未加入域,则需要通过Radius机制来验证用户。
(2)选择如图所示的选项
(3)安装完之后右键选择“配置并启用路由和远程访问(c))
(4)选择第一项,如果您同时也要让内部客户端可以通过***服务器上网的话,可选择“虚拟专用网络(***)访问和NAT。
(5)选择如图所示的选项
(6),这里选择用来连接因特网的网络接口(这里为外网)后单击下一步。默认会选择最下方选项,他会通过“静态数据包筛选器”来让此网络接口只接受与***有关的数据包,其他类型的数据包会被封锁。若此计算机还要扮演NAT服务器等其它角色的话,建议取消此项。
注意,可在事后通过外网卡网络接口的“入站筛选器”和“出站筛选器”来更改设置,例如要利用ping命令来测试是否可以与***服务器通信的话,就需要在入站和出站筛选器开放ICMP流量(Windows防火墙也需开放)。
比如,我现在在服务器开通了“外网”的“入站筛选器”和“出站筛选器”的ICMP端口(注意啦,入和出都要定义):
(7)选择分配IP给***客户端的方式:
--自动:***服务器会先向DHCP服务器租用IP地址,然后将其分配给客户端。
Windows Server 2008R2通过“路由和远程访问服务(RRAS)”来提供***服务器的功能,而在“路由和远程访问服务”启动时,他会先向DHCP服务器租用10个IP地址,之后当***客户端连上***服务器时,***服务器会从这些地址中选择一个给***客户端来使用。若这10个Ip地址用完的话,“路由和远程访问服务”会继续向DHCP服务器再租用10个IP地址。。。。。。
ps:您可以在***服务器上修改以下注册值来更改每次租用IP地址的数量:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\IP\InitialAddressPoolSize
若未发行爱你此注册值得花,请自行添加(数据类型为Reg_dword).
--来自一个指定的地址范围:此时单击下一步后,自行设置一段Ip地址范围,***服务器会从此范围内挑选Ip地址给***客户端。
(8)这里我选择通过域控制器的AD来验证用户名和密码,故不需要使用RADIUS验证。
(9)单击“确定”完成。
(10)展开到“DHCP中继代理程序”打开它的属性,添加DHCP服务器的IP地址(我这里本机也是DHCP服务器,所以添加的是本地的IP地址)。
(11)采用AD验证的***服务器,需要在AD里面允许该用户拨入功能:
(12),我这里使用的是vmware虚拟机,所以我是模拟的因特网,也就是客户端和***服务器连在一个网段上,不过没有关系,我们可以看到效果的!
拨号的时候选择个跟他同一个网段的Ip地址(模拟因特网)。
(13)当成功连接到***服务器之后,我们在客户端可以看到服务器内网服务器IP(192.168.0.1)的共享文档,并且在右下角多了一个网络连接的图标,说明已经成功连接
(14)当然,我们在服务器上也是可以看到成功连接的客户端的:
(15)***客户端为何无法上网(针对的是由服务器DHCP分配Ip的情况)?
原本计算机可以访问因特网,可是为什么一旦脸上***服务器后,虽然可以访问内部网络资源,但是却无法访问因特网的资源呢?因为***客户端默认会选择“在远程网络上使用默认网关”。
在WinXP客户端中取消了“在远程网络上使用默认网关”便可以访问因特网了!
(16)上述限制也是大部分系统管理员所期望的,因为若***客户端取消选择““在远程网络上使用默认网关”的话,则在连上***服务器后,其路由表将多出一条网关路由。也就是说***客户端能够同时访问内部网络和因特网,如此这台***客户端计算机可能成为******内部网络的跳板,形成安全上的威胁。
(17)***客户端为何无法上网(针对的是静态Ip的情况)?
(18)这种静态Ip的情况比较安全,连接上***之后,它是可以上网,但是无法与内部网通讯,因此需要在客户端手动添加路由(我这里没有演示,只提供示例命令)
比如:route add 192.168.110.138 255.255.255.0 192.168.0.1
2,L2TP/IPSec ***(预共享密钥)
由于采用预共享密钥的验证方式,其安全性比采用计算机证书验证的方式要差,因此只建议使用在测试环境,不建议使用在正式环境中。
1,在服务器上设置好与预共享的密钥
2,在客户端设置与共享密钥即可:
页:
[1]