文章作者:Yansy
信息来源:Windows中文站
接下来我们试试不用PPTP,用L2TP来设置VPN。
采用L2TP的预共享密钥方式,需要同时在VPN服务器和VPN客户端上配置使用预定义的共享密钥。
因为所有的VPN客户都需要配置为使用相同的L2TP共享密钥,这会极大的降低L2TP/IPSec的安全性,究竟如何取舍,这个需要你自己去决定了。
首先,在VPN服务器上设置L2TP的预共享秘钥,在路由和远程访问-本地服务器-右键-属性-安全中勾选自定义Ipsec,在下方输入秘钥,秘钥最好符合windows密码建议值
确定完成后,我们回到客户端上设置。
在拨号客户端的拨号连接-属性-网络-选择-L2TP/IPSec
切换到安全,点击IPSec设置
勾选预共享秘钥,输入刚才在服务器上设置的秘钥,确定。
拨号成功后查看VPN拨号连接属性-详细信息,看到已经是L2TP/IPSec了,IPSec是采用的ESP 3EDS加密的:
当然,我们也可以采用PKI体系中的证书服务来验证服务器和客户端的计算机身份,具体的做法这里就不仔细讲述了,可以参考论坛的文章:
使用证书服务安全配置TS(终端服务)的步骤
http://www.eviloctal.com/forum/r ... page=1&toread=1
采用IAS设置IAS客户端时,不同的版本有不同的限制,具体如下:(引用的是windows帮助的内容)
您可以在 Windows Server 2003 Standard Edition 中配置“Internet 验证服务”,最多配置 50 个 RADIUS 客户端和 2 个远程 RADIUS 服务器组。您可以采用完全合格的域名或 IP 地址定义 RADIUS 客户端,但不能通过指定 IP 地址范围定义 RADIUS 客户端组。如果将 RADIUS 客户端的完全合格的域名解析为多个 IP 地址,则 IAS 服务器采用 DNS 查询中返回的第一个 IP 地址。使用 Windows Server 2003 Enterprise Edition 和 Windows Server 2003 Datacenter Edition 中带的“Internet 验证服务”,您可以配置无限多个 RADIUS 客户端和远程 RADIUS 服务器组。另外,您可以通过指定 IP 地址范围来配置 RADIUS 客户端。
最后一点:远程访问策略的应用。
刚才我们的演示一直是在账号属性中设置允许拨入,当然也可以设置按照策略设置拨入条件,这是需要修改账号属性中的拨入,改成“通过远程访问策略控制访问”,如图:
接下来就是策略的设置了。
对于单独的VPN Server,直接在VPN Server上设置策略就可以了;对于采用了IAS验证身份的VPN,在IAS上设置策略。
策略的工作过程如下:
1、设置条件,比如是什么用户账号或者用户组等
2、设置动作,也就是满足了上述条件的允许或者禁止其拨入
3、设置配置文件,也就是设置拨入后运行的配置,比如空闲超时,会话超时,IP设置,多路连接,身份验证,加密方法等,我们通过一条具体的策略来演示。
在上面的环境中通过策略来限制拨入,我们首先在IAS的远程访问策略中新建策略:
按下一步,输入策略的名字,下一步
选择该策略的适应条件,我们选择VPN
下一步,开始设定条件。
首先选择用户或者用户组,如果选用户,则在用户账号属性中设置按照策略拨入;如果选择用户组,则在此处添加用户组到下方的框中。
如图:
下一步,选择身份验证协议:
下一步,选择加密级别:
完成后,条件设定完毕。
接下来设定满足该条件的动作,在刚才创建的策略上右键-属性,选允许或者禁止,如图:
动作设置完成以后,设置配置文件,点击上图中的“编辑配置文件”,依次设置各个选项,如图:
这样,我们就完成了设置远程访问策略的三个步骤:
设置条件
设置动作
设置配置文件
以后用户账号或者组账号中的用户能否拨入,拨入后运行什么样的配置文件,就完全按照策略来进行了。
总结:
这篇文章详细描述了用2003部署VPN server的步骤,并讨论和验证了以下几个方面:
在Server 2003上部署VPN服务
使用局域网中的DHCP Server分配IP给拨号客户端,在VPN Server上启用DHCP中继
体验客户端不同的IP获取方式的区别
体验Windows身份验证和IAS身份验证的不同
体验账号允许拨入和策略允许拨入的不同
体验PPTP和L2TP/Ipsec的不同
使用证书服务来验证服务器和客户端的计算机身份
验证了VPN客户端能正常访问局域网中File Server上的文件
