2024年6月3日发(作者:)
简介
让远程用户连接Exchange Server的传统解决方案是使用Outlook Web Access.然
而,为何不使用虚拟专用网(Virtual Private Network,VPN)让你的远程用户与你的
Exchange连接在一起呢?
如果你不熟悉VPN,我将向你介绍,VPN是穿越不安全的网络,譬如Internet的一
个逻辑的、安全的网络连接。远程用户能够通过他们的已经存在的Internet连接,安全地
连接进入你的网络,就像他们亲自在办公室中一样。另外一个优势是,VPN是交换独立的,
这意味着你能够使用VPN连接访问Exchange Server,而不用考虑版本问题,并且你还
可以使用VPN连接访问其它网络资源。
VPN技术对机构和很多远程用户来说,是极端有用的,但在设定上,它可能有些复杂。
下面的指南将手把手的教你如何建立VPN,它包含各个步骤详细的操作流程。
第一步:系统需求
VPN分为两种,一种是硬件解决方案,一种是软件解决方案,在这个手把手的指南中,
我将介绍一种软件解决方案,即使用Microsoft产品建立VPN.
为了架设VPN,你将需要三个独立的Windows 2003服务器和至少一个远程用户,
远程用户的机器上需要运行Windows XP操作系统。
网管联盟
你的VPN需要的第一台Windows 2003服务器是一台基本的基础设施服务器,它必
须作为一台域控制器(domain controller),DHCP服务器(DHCP server),DNS服务
器(DNS Server)和认证中心(certificate authority)。如果你的网络中已经有一台
Windows 2003服务器,你就不需要去购买一台服务器担当此角色。
任何Windows 2003域都至少有一台域控制器和一台作为DNS的服务器,多数
Windows 2003网络同时运行DHCP服务。如果你所有的这些服务已经到位,你所关心的
唯一的事情就是设置一个认证中心(我将在第三步为你说明如何做这件事情)。下载,你只
需知道作为认证中心的那台服务器必需运行Windows Server 2003 Enterprise Edition
操作系统。
你需要的第二台服务器将是VPN服务器(VPN server),Windows Server 2003
Standard Edition和Enterprise Edition都提供了VPN服务器的必要软件,因此,你不
需要在这台服务器上安装任何特别的软件。唯一特别的是硬件上,这台服务器需要双网卡,
一块网卡连接Internet,另一块网卡则连接你的专用企业网络。
你需要的最后一台服务器将是认证服务器(authentication server)。当远程用户通过
VPN尝试进入你的企业网络时,他们必需通过认证。远程用户认证的机制可以选择RADIUS
服务器(RADIUS server),RADIUS 是Remote Authentication Dial In User Service
(远程身份验证拨入用户服务)的首字母缩写。在Windows Server 2003 Standard
Edition和Enterprise Edition中,包含有微软自有版本的RADIUS.微软的RADIUS叫做
Internet验证服务(Internet Authentication Service,IAS),对这台服务器来说,没有
特殊的硬件和软件要求。
在这一部分,最后我想说的是服务器的安置问题。任何一台我谈论到的服务器都将通
过Hub或交换机接入你的专用网络,唯一与外界连接的服务器是你的VPN服务器,但将
VPN服务器直接与Internet连接将会带来安全风险,因此,在VPN服务器的前面放置一
台防火墙是很好的解决办法,你可以用它过滤掉除了VPN通讯外所有其它的信息。
在第二步,我们将开始配置域的过程,所以在进入下一步之前,你的网络中必需包含
必需的Windows 2003域控制器和DNS服务器。
第二步:实施DHCP服务
1.打开服务器的控制面板,选择“添加或删除程序”。
2.当“添加或删除程序”对话框出现时,点击“添加/删除Windows组件”按钮。
3.在弹出的窗口中,选择“网络服务”,按下“详细信息”。
4.现在从网络服务列表中选择“动态主机配置协议(DHCP)”,然后单击“确定”,进
行下一步操作。
Windows现在将安装DHCP服务,安装结束后,你将要创建一个地址范围,并且启
动DHCP服务器,在你的网络上运行。
5.为了做到这些,请在控制面板――管理工具中选择动态主机配置协议(DHCP)配置,
打开DHCP管理器。
6.在DHCP管理器中你的服务器上单击右键,选择启动(Authorize)。
7.启动DHCP服务器后,在DHCP管理器的服务器列表窗口中单击右键,选择“新建
作用域(New Scope)”,这将启动新建作用域向导。
8.点击下一步略过向导的欢迎界面。
9.输入你正在创建的作用域的名称,并且点击下一步。(你可以输入任何你想到的名称,
但在这个教程中,我将命名此作用域为“Corporate Network”。)
10.现在你将需要填入IP地址范围。在这里只需输入你已经使用的起始IP地址和结束
IP地址,但注意不要与已经存在的IP地址冲突。长度和子网掩码部分则会自动输入,不需
要你的干涉,当然,你也可以手动调节这两者的值。
11.接下来的三个画面包括一些你不必关心的设置,连续三次点击下一步,直到你进入
“路由(默认网关)(Router (Default Gateway))”界面。
12.输入你网络网关的IP地址,点击添加,然后下一步。
13.输入你的域的名称和你的DHCP服务器的IP地址(IP address of your DHCP
server),然后点击下一步。
14.单击下一步略过WINS配置窗口。
15.最后,根据提示选“是,我想激活作用域(Yes, I Want To Activate The Scope
Now)”再点击“完成”即可结束最后设置。
第三步:创建一个企业认证中心
在我向你讲述如何创建一个企业认证中心之前,我将告诉你几个必需注意的事项。安
装认证中心并不是一个轻松的过程,如果一个未经授权的用户进入了你的认证中心,他将
几乎控制你的所有网络。同样,如果认证中心服务器当机,它可能对给你的网络带来毁灭
性的破坏。
所以,一定要像保护原子弹一样保护你的认证中心,确保认证中心尽可能的安全,并
频繁的做好全系统的备份,你还需要保护这些备份,以防止它们偶然地出现问题。下面是
创建企业认证中心的具体过程。
1. 打开服务器的控制面板,选择“添加或删除程序”,点击其中的“添加/删除Windows
组件”按钮。
2.选择Windows组件中的“证书服务”。
3.你将会看到一个警告窗口,上面的信息为:“安装证书服务后,计算机名和域成员身
份都不能更改,因为计算机名到CA信息的绑定存储在Active Directory中。更改计算机
名或域成员身份将使此CA颁发的证书无效。在安装证书服务前请确认配置了正确的计算
机名和域成员身份。您想继续吗?”点击“是”,接受这一警告信息,并点击“下一步”,
开始安装证书服务。
4.选择“独立根CA”作为你想安装的CA类型,并点击下一步。
在这里,为自己的CA服务器取个名字,设置证书的有效期限。默认的证书有效期限
为5年,不过你可以通过企业安全策略来增加或减少此有效期限。
5.填写好这两个文本框,点击下一步,Windows将开始生成加密密钥。
6.最后指定证书数据库和证书数据库日志的位置,按照默认即可,除非你自己想更换
路径,然后点击下一步。
7.现在将出现一则消息,提示Windows必需重新启动IIS服务,才能够让证书服务正
常运行。点击“是”,Windows将安装必要的组件。
第四步:安装Internet验证服务
Internet验证服务是Windows Server 2003实施RADIUS的一种服务,Internet验
证服务将认证那些通过VPN连接进入你的企业网络的用户,因此,你的Internet验证服
务器必需是你的域服务器中的一员,并且运行Windows Server 2003操作系统。为了正
确安装IAS,请遵循以下的步骤:
1.定位到开始 | 设置 | 控制面板(Start| Settings | Control Panel)。
2.双击添加或删除程序(Add/Remove Programs)。
3.选择添加/删除Windows组件(Add/Remove Windows Components)。
4.在组件列表中,选择网络服务(Networking Services),并点击详细内容。 中国网
管联盟www、bitsCN、com
5.选择Internet验证服务(Internet Authentication Service)的确认框,然后点击
OK,并点击下一步。
完成安装之后,系统中将具有用于因特网认证服务的管理工具的一个新的连接。接着,
你必须为每一台机器设置一个客户端,并指定一个远距离访问规范以控制访问。
第五步:配置Internet验证服务
1.进入管理工具(Administrative Tools)-> Internet验证服务(Internet
Authentication Service)。
2.在这里,你需要做的第一件事情是在活动目录(Active Directory)中注册你的
Internet验证服务器。为了做到这些,请在Internet验证服务器(本地)(Internet
Authentication Service (Local))容器上单击右键,选择在活动目录中注册服务器
(Register Server in Active Directory)。
3.点击确定完成注册过程。
4.现在,在RADIUS客户(RADIUS Clients)容器上单击右键,选择新RADIUS客户
(RADIUS Clients)。如果你正好直到你某台客户端机器的IP地址或DNS名称,继续下
去,输入一个友好的名字。否则,暂时将它留空,在随后的设置客户端连接时再进行填写。
5.点击下一步。
中国网管联盟www_bitscn_com
6.此时,会提示你输入一个共享的密钥。共享密钥是RADIUS服务器和客户端同时使
用的密钥,确定客户端供应商选项设置为RADIUS标准,输入一个共享密钥值,点击完成。
【转自】
一、需求描述
单位项目组在局域网中使用VSS(visual source safe 6.0C and visual source safe
2005,分别对应visual studio 2003 和 visual studio2005)进行源代码管理协同开发。
一般VSS在局域网内工作(VSS 2005 可以通过http在整个英特网使用,不过没有使用
过,不知道好不好用,还是习惯于局域网的使用方式)。
近阶段在学习biztalk,在单位完成正常工作之余,会拿出一些时间做biztalk文档所
带的tutorial的示例项目,还会做些测试项目,回家之后也会继续白天正在做的项目,所
以有必要把家里的机器跟单位自己的机器连起来用VSS管理所做的项目,这样单位所做的
工作和家里所做的工作可以相互衔接。
单位的机器是局域网之后通过路由接入公网,本身也不具有公网IP,家中的机器是通
过adsl上网路由上网,也不具公网IP。正好单位有一台在公网的服务器我可以控制,通过
这个服务器可以搭建一个VPN虚拟局域网,把单位我用的机器和家里的机器都拨入这个
VPN服务器,两台机器就处于一个虚拟局域网中了,在单位的机器上设置VSS数据库,
然后共享,家里的机器通过虚拟局域网访问共享VSS数据库。
二、配置windows 2003 VPN服务器
服务器是Windows 2003系统,2003中VPN服务叫做“路由和远程访问”,系统
默认就安装了这个服务,但是没有启用。
在管理工具中打开“路由和远程访问”
在列出的本地服务器上点击右键,选择“配置并启用路由和远程访问”。下一步
在此,由于服务器是公网上的一台一般的服务器,不是具有路由功能的服务器,是单
网卡的,所以这里选择“自定义配置”。下一步。
这里选“VPN访问”,我只需要VPN的功能。下一步,配置向导完成。
点击“是”,开始服务。
看启动了VPN服务后,“路由和远程访问”的界面
下面开始配置VPN服务器
在服务器上点击右键,选择“属性”,在弹出的窗口中选择“IP”标签,在“IP地址指
派”中选择“静态地址池”。
然后点击“添加”按钮设置IP地址范围,这个IP范围就是VPN局域网内部的虚拟IP
地址范围,每个拨入到VPN的服务器都会分配到一个范围内的IP,在虚拟局域网中用这
个IP相互访问。
这里设置为10.240.60.1-10.240.60.10,一共10个IP,默认的VPN服务器占用第
一个IP,所以,10.240.60.1实际上就是这个VPN服务器在虚拟局域网的IP。
至此,VPN服务部分配置完毕。
三、添加VPN用户
每个客户端拨入VPN服务器都需要有一个帐号,默认是windows身份验证,所以要
给每个需要拨入到VPN的客户端设置一个用户,并为这个用户制定一个固定的内部虚拟IP
以便客户端之间相互访问。
在管理工具中的计算机管理里添加用户,这里以添加一个chnking用户为例
先新建一个叫“chnking”的用户,创建好后,查看这个用户的属性,在“拨入”标
签中做相应的设置,如图:
远程访问权限设置为“允许访问”,以允许这个用户通过VPN拨入服务器。
点选“分配静态IP地址”,并设置一个VPN服务器中静态IP池范围内的一个IP地址,
这里设为10.240.60.2
如果有多个客户端机器要接入VPN,请给每个客户端都新建一个用户,并设定一个虚
拟IP地址,各个客户端都使用分配给自己的用户拨入VPN,这样各个客户端每次拨入VPN
后都会得到相同的IP。如果用户没设置为“分配静态IP地址”,客户端每次拨入到VPN,
VPN服务器会随机给这个客户端分配一个范围内的IP。
四 配置windows 2003 客户端
客户端可以是windows 2003,也可以是Windows XP,设置几乎一样,这里以2003
客户端设置为例。
选择程序――附件――通讯――新建连接向导,启动连接向导
这里选择第二项“连接到我的工作场所的网络”,这个选项是用来连接VPN的。下一
步。
选择“虚拟专用网络连接”,下一步。
在“连接名”窗口,填入连接名称szbti,下一步。
这里要填入VPN服务器的公网IP地址。
下一步,完成新建连接。
完成后,在控制面板的网络连接中的虚拟专用网络下面可以看到刚才新建的szbti连
接
在szbti连接上点击右键,选“属性”,在弹出的窗口中点击“网络”标签,然后选中
“internet协议(tcp/ip)”,点击属性按钮,在弹出的窗口中再点击“高级”按钮,如图,
把“在远程网络上使用默认网关”前面的勾去掉。
如果不去掉这个勾,客户端拨入到VPN后,将使用远程的网络作为默认网关,导致的
后果就是客户端只能连通虚拟局域网,上不了因特网了。
下面就可以开始拨号进入VPN了,双击szbti连接,输入分配给这个客户端的用户名
和密码,拨通后在任务栏的右下角会出现一个网络连接的图标,表示已经拨入到VPN服务
器。
一旦进入虚拟局域网,客户端设置共享文件夹,别的客户端就可以通过其他客户端ip
地址访问它的共享文件夹。
五 配置VSS
VSS是在一台机器上配置VSS数据库,把数据库的文件夹设置共享,局域网内别的机
器可以访问到这个共享文件夹,就可以从源代码数据库中打开项目。
配置好VPN后,客户端之间就是相当于在局域网内,VSS的设置就跟局域网内一样
的设置。
发布评论