1.1 实战:配置远程访问
实战目标:
? 配置×××服务器
? 配置远程用户使用×××拨入企业内部网络
? 测试到内网服务器FileServer的 访问
网络拓扑:
企业环境:
微软河北企业护航中心内网搭建了一个域环境,有一些用户经常出差,在外地的员工需要访问企业内部网络的一些资源,要求在RASServer上配置远程访问服务器,允许远程用户使用×××拨入企业内部网络。
实验环境:
? DCServer是ESS.COM域中的域控制器和企业根证书颁发机构,安装Windows Server 2008企业版操作系统,IP地址是172.16.0.100。
? FileServer是ESS.COM域中的成员服务器,安装Windows Server 2008企业版操作系统,IP地址是172.16.0.150.
? RASServer是ESS.COM域中的成员服务器,有两块网卡,一个连接内网,一个连接Internet,使用公网IP地址23.23.2.2。
? ReomtePC计算机是远程用户,该用户能够访问Internet,因此也能访问RASServer的公网IP地址。
远程用户通过×××拨入到内网后相当于将远程计算机放到×××网络中,由远程访问服务器分配给远程计算机一个私网IP地址。
1.1.1 配置远程访问服务器RASServer
任务:
? 安装路由和远程访问服务
? 配置路由和远程访问服务器
? 指定分配给远程计算机的IP地址
? 查看PPTP端口
步骤:
1. 以域管理员用户帐户登录RASServer。
2. 打开服务器管理器,点击“添加角色”。
3. 在出现的开始之前对话框,点击“下一步”。
4. 在出现的选择服务器角色对话框,选中“网络策略和访问服务”,点击“下一步”。
5. 在出现的网络策略和访问服务对话框,点击“下一步”。
6. 在出现的选择角色服务对话框,选中“路由和远程访问服务”、“远程访问服务”和“路由”,点击“下一步”。
7. 在出现的确认安装选择对话框,点击“安装”。
8. 完成安装后出,在安装结果对话框,点击“关闭”。
9. 点击“开始”à“程序”à“管理工具”à“路由和远程访问”,打开“路由和远程访问服务”管理工具。
10. 右击RASServer,点击“配置并启用路由和远程访问”。
11. 在出现的欢迎使用路由和远程访问服务器安装向导对话框,点击“下一步”。
12. 在出现的配置对话框,选择“虚拟专用网络(×××)和NAT”,点击“下一步”。
提示:选择该项可以同时启用远程访问服务器和NAT,这样即允许内网用户能够访问Internet,也能够使Internet用户使用×××远程拨入内网。
13. 在出现的×××连接对话框,网络接口选中“本地连接2”,点击“下一步”。
14. 在出现的IP地址分配对话框,选择“来自一个指定的地址范围”,点击“下一步”。
15. 在出现的地址分配对话框,点击“新建”。
16. 在出现的新建IPv4地址范围对话框,输入起始IP地址和结束IP地址,点击“确定”。
17. 在出现的地址范围分配对话框,点击“下一步”。
18. 在出现的管理多个远程访问服务器对话框,选择“否,使用路由和远程访问来对连接请求进行身份验证”,点击“下一步”。
19. 在出现的摘要对话框,点击“完成”,在出现的对话框,点击“确定”。
20. 有RASServer,点击“属性”。
21. 在出现的RASServer属性对话框的常规标签下,可以看到已经选中了“IPv4远程访问服务器”。
22. 在“IPv4”标签下,可以看到选择了“静态地址池”,地址范围是刚才配置的。点击“确定”。
23. 右击“端口”,点击“属性”。
24. 在打开的端口属性对话框,可以看到×××使用的协议PPTP、L2TP和SSTP,选中PPTP,点击“配置”。
25. 在出现的配置设备对话框,可以更改端口数量,点击“确定”。远程用户拨入后就会占用一个PPTP端口。
1.1.2 配置域用户允许×××拨入
任务:
? 设置RASServer上创建本地用户han,允许拨入
? 在DCServer上创建域用户han,允许拨入
步骤:
1. 在RASServer上创建一个用户han,设置允许拨入。
2. 以域管理员身份登录到DCServer。
3. 点击“开始”à“程序”à“管理工具”à“Active Directory用户和计算机”,打开Active Directory用户和计算机管理工具。
4. 在研发部创建一个用户han,在用户属性的拨入标签下,选择“允许拨入”。
1.1.3 在RemotePC上配置×××客户端
任务:
? 配置×××客户端
? 测试到内网的连通性
? 使用RASServer的本地用户拨入
? 使用域用户拨入
步骤:
1. 在ReomtePC计算机上,点击à“网络和共享中心”。
2. 在打开的网络和共享中心对话框,点击“设置连接或网络”。
3. 在出现的设置连接或网络对话框,点中“连接到工作区”,点击“下一步”。
4. 在出现的链接到工作区对话框,点击“使用我的Internet连接(×××)”。
5. 在出现的键入要连接的Internet地址,输入RASServer的公网IP地址或域名,输入目标名称,点击“下一步”。
6. 在出现的键入您的用户名和密码对话框,输入用户名、密码和域,点击“连接”。
注:如果用户是RASServer的本地用户,域就输入RASServer,如果用户是域用户,域就输入ESS。
7. 身份验证通过后,在您已经连接对话框,点击“关闭”。
8. 在出现的选择“公司网络”网络的位置对话框,点击“家庭”。
9. 在出现用户帐户控制对话框,点击“继续”。
10. 在出现的成功地设置网络设置对话框,点击“关闭”。
11. 点击“开始”à“设置”à“网络连接”,可以看到已经连接到公司网络。
12. 右击“公司网络”,点击“属性”。
13. 在出现的公司网络属性对话框,在安全标签下,可以看到默认已经选中了“要求数据加密”。可见PPTP通信是安全的。
14. 更改连接用户,使用域用户连接,点击“连接”,使用域用户登录有下列两种方式。
15. 点击“属性”
16. 在网络标签下,×××类型默认是自动。×××类型有PPTP、L2TP和SSTP。
17. 在命令提示符下,输入Ipconfig,可以看到远程访问服务器分配的私网IP地址172.16.1.5。
18. 在命令行下输入netstat –n可以看到×××客户机和远程访问服务器建立的会话,可以看出来PPTP使用TCP的1723端口。
19. 输入ping 172.16.0.100测试到内网DCServer的连通性。
20. 输入ping 172.16.0.150测试到内网FileServer的连通性。
21. 右击“公司网络”,点击“断开”。
22. 在测试到内网DCserver的连通性和FileServer的连通性。发现断开×××拨号连接,就不能访问内网了。
1.1.4 在RASServer上查看远程拨入用户
任务:
? 在RASServer服务器上查看拨入的远程用户
? 查看拨入用户使用的端口
? 测试×××拨通后到内网的连通性
? 测试内网到×××拨入计算机的连通性
步骤:
1. 在RASServer服务器上。
2. 点击“开始”à“程序”à“管理工具”à“路由和远程访问”,打开路由和远程访问管理工具。
3. 点中“远程访问客户端”,可以看到拨入的用户。
4. 点击“端口”,可以看到拨入的用户占用了一个PPTP端口,该端口的状态为“活动”。
5. 双击该活动端口,在出现的端口状态对话框,可以看到拨入用户是han。
6. 在DCServer上可以Ping通×××拨到内网的计算机。
1.1.5 配置×××使用L2TP协议通信
L2TP需要结合IPSec实现安全性,身份验证可以使用IPSec证书,也可以使用预共享的密钥,以下实验是使用共享密钥实现IPSec的身份验证。
任务:
? 配置×××使用L2TP和IPSec协议通信
步骤:
1. 在RASServer上,点击“开始”à“程序”à“管理工具”à“路由和远程访问”,打开路由和远程访问管理工具。
2. 右击RASServer,点击“属性”。
3. 在RASServer属性对话框,在安全标签下,选则“允许L2TP连接使用自定义IPSec策略”,输入预共享 的密钥,点击“确定”。
4. 在出现的提示重启路由和远程访问对话框,点击“是”。
5. 右击RASServer,点击“所有任务”à“重新启动”。
1.1.6 配置RemotePC启用L2TP ×××客户端
任务:
? 配置×××客户端使用L2TP协议
步骤:
1. 在RemotePC计算机上,点击“开始”à“设置”à“网络连接”。
2. 可以看到×××默认使用PPTP协议。
3. 右击“公司网络”,点击“属性”。
4. 在公司网络属性对话框,在网络标签下,点击“IPSec设置”按钮。
5. 在出现的IPSec设置对话框,选择“使用预共享的密钥作身份验证”,输入密钥,点击“确定”。
6. 更改×××类型为“L2TP IPSec ×××”,点击“确定”。
7. 可以看到WAN微型端口已经是L2TP了,右击“公司网络”,点击“连接”。
8. 在出现的连接公司网络对话框,点击“连接”。
9. 在RASServer上,打开路由和远程访问管理工具,可以看到占用的端口是L2TP。
微软最有价值专家(MVP)从业12年录制500小时16G企业培训视频 视频介绍网址 http://www.91xueit.com