[转载]VPN系列文章之二：部署2003的VPN服务(中)

文章作者：Yansy
信息来源：Windows中文站

首先验证客户端已经和VPN Server的公网地址可以通讯了，如图：
（因为客户端和VPN server都接入了互联网，肯定可以通讯，否则先配置好客户端的上网连接并拨号接入Internet，这里是实验环境，我们直接设置客户端和VPN Server的IP在202.96.100.0/24这个网段）


在客户端的网络连接中创建一个新连接




下一步，按图选择连接到工作场所





下一步，选择VPN




下一步，输入连接名称，比如我们输入Benet




下一步，输入拨号IP，也就是VPN Server接入Internet的IP地址




下一步，选择完成。
刚创建的VPN拨号连接已经准备好拨号了，输入允许拨号的账号和密码，拨号就ok。
比如，我们输入zhangsan的账号密码。



接下来，我们在独立的VPN Server上创建账号zhangsan，并且允许其远程接入，在计算机管理－本地用户和组，新建张三，注意不要选择下次登录是更改密码，如图：




创建好账号zhangsan后，在其属性－拨入中设置，允许其远程访问，如图




回到客户端上拨号验证，看到拨号成功了。




验证客户端拨号成功，IP获取正确。（刚才设置的IP是192.168.1.20-50，我们看到拨号后拿到的是我们设置范围的一个地址192.168.1.21）





验证默认路由也已经获取成功




最后一步，验证客户端拨号后访问局域网中的文件服务器，输入文件服务器的IP：192.168.1.10，访问成功。




  
接下来我们实验客户端不同的IP获取方式。
在File server上设置DHCP，分配地址范围为192.168.1.120-150，如图：
（DHCP的部署请参看本站文章：HOW TO:使用 Server 2003 的 DHCP 功能－整合DNS,WINS ）





在VPN Server的路由和远程访问窗口，右键VPN Server，属性，IP设置中更改为DHCP




在DHCP中继代理中新增接口




选择连接到Internet的接口




确认完成后，在中继代理程序－属性中添加DHCP Server的IP




确定完成以后，我们回到拨号客户端上验证。
拨号成功后我们看到新的IP生效了





刚才的身份验证一直使用的是Windows身份验证，接下来我们再看看windows的IAS身份验证。
首先在File Server上安装IAS，控制面板－添加/删除程序－windows组件－网络服务中选择－Internet验证服务，安装。




IAS安装完成。
注意IAS中的远程访问策略，如果在VPN server上选择使用Radius认证，则VPN Server上的远程访问策略失效，Radius服务器上的策略生效。





接下来我们更改VPN Server上的身份验证方法
在VPN Server上的路由和远程访问窗口，右键VPN Server，属性－安全，把验证和记账都改成Radius





点击右方的配置，添加IAS服务器的IP地址




添加好后，确认，按照提示重启路由和远程访问服务



接下来配置IAS服务器。
在VPN系列文章之一：VPN基础 中，我们讲述过IAS既可以在本地SAM中验证，也可以通过AD来验证拨号账号（即使IAS是独立的服务器）。如果有AD环境，在IAS服务器上右键，选择在AD中注册服务器，可以使用AD账号来验证身份，如图：





现在我们没有AD环境，IAS是一台独立的RADIUS服务器，拨号账号验证在IAS的本地SAM中进行。所以，首先我们要在IAS上建立一个账号并允许其拨入，我们在IAS上建立lisi这个账号并允许其拨入：





IAS的作用就是接管本来应该由VPN Server来进行的身份验证，刚才在VPN Server中设置了IAS的地址，在IAS中也需要指定IAS的客户端是VPN Server（IAS的详细功能和配置，以后另有文章详述）。
在RADIUS客户端上右键，新建客户端





输入RADIUS客户端的名字和IP：




可以验证一下，点击解析，出来刚才输入的IP地址




下一步，完成。
回到拨号客户端上，用lisi这个账号拨号




连接上以后，双击任务栏连接的图标，看详细信息：
采用的端口是PPTP，验证方法是MS CHAP第二版