Windows Server 2003搭建×××服务器

近来，随着中国经济的腾飞、各类工业企业投资增长，中国已经成为世界的制造中心。大型生产型、经营型企业的生产、调度早已经就严重依赖于网络。

　　随着企业规模的不断扩大，异地分支机构、办事处、连锁超市、经营部门、生产部门，以及投资管理机构，甚至出差人员对中心的数据愈来愈敏感，所以，这些企业大都已经或者正准备安装大型网络型ERP/财务软件用以知足以上各种需求。然而企业在付出高昂的软件安装部署实施费用后，大都为如何减小软件的运行费用而忧心重重。互联网的方便、高速和覆盖并无被企业网充分利用，由于任何企业的IT经理都不会将企业内部网直接链接到互联网，企业内部网与互联网之间都会设置防火墙，只容许内部网络结点向互联网发起请求，进行互联网的访问，但不容许经过互联网结点访问企业内部的信息。所以公司老总很晚才下班，要在公司处理完全部的数据、邮件，尽管家中有宽带，但那是互联网接入，不能接到公司内部网络;出差在外的员工必须拔打昂贵的800号码或长途电话才能访问公司内部信息，以大约28.8Kbps的速率链接到公司内部网络，酒店的宽带接口却放在一边不能用。有什么好办法既能保证数据传输的安全性，又能下降运行成本呢?DDN专线吗，确定不行，相关设备的安装难度，路由器等网络设备的大笔投入不说，光是每个月昂贵的租用费用，随着分支机构的增长，这种负担正成为企业支出费用的大笔开销!利用传统的拨号线路吗?缓慢的速度，设备安装调试、管理、维护的问题更是让企业信息负责人望而却步。有没有一种更好的解决方案呢?怎样才能利用高速、便利的互联网接入安全地实现移动办公，在家办公呢?答案是远程接入×××。

　　1、什么是×××?

　　虚拟专用网(×××，Virtual Private Network)是一种利用公共网络来构建的私人专用网络技术，不是真的专用网络，但却可以实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商)，在公用网络中创建专用的数据通讯网络的技术。 在虚拟专用网中，任意两个节点之间的链接并无传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的×××为："使用IP机制仿真出一个私有的广域网"是经过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户再也不须要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户能够为本身制定一个最符合本身需求的网络。

　　2、×××的安全性

　　目前×××主要采用四项技术来保证安全，这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。

　　一、隧道技术

　　隧道技术是×××的基本技术相似于点对点链接技术，它在公用网创建一条数据通道(隧道)，让数据包经过这条隧道传输。隧道是由隧道协议造成的，分为第2、三层隧道协议。第二层隧道协议是先把各类网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法造成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准，由IETF融合PPTP与L2F而造成。 　 第三层隧道协议是把各类网络协议直接装入隧道协议中，造成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec(IP Security)是由一组RFC文档组成，定义了一个系统来提供安全协议选择、安全算法，肯定服务所使用密钥等服务，从而在IP层提供安全保障。

　　二、加解密技术

　　加解密技术是数据通讯中一项较成熟的技术，×××可直接利用现有技术。

　　三、密钥管理技术

　　密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥;在ISAKMP中，双方都有两把密钥，分别用于公用、私用。

　　四、使用者与设备身份认证技术

　　使用者与设备身份认证技术最经常使用的是使用者名称与密码或卡片式认证等方式，目前这方面作的比较成熟的有国内的深信福科技的×××解决方案。

 

3、×××网络的可用性

　　经过×××，企业能够以更低的成本链接远程办事机构、出差人员以及业务合做伙伴关键业务。虚拟网组成以后，远程用户只需拥有本地ISP的上网权 限，就能够访问企业内部资源，这对于流动性大、分布普遍的企业来讲颇有意义，特别是当企业将×××服务延伸到合做伙伴方时，便能极大地下降网络的复杂性和 维护费用。

　　×××技术的出现及成熟为企业实施ERP、财务软件、移动办公提供了最佳的解决方案。

　　一方面，×××利用现有互联网，在互联网上开拓隧道，充分利用企业现有的上网条件，无需申请昂贵的DDN专线，运营成本低。

　　另外一方面，×××利用IPSEC等加密技术，使在通道内传输的数据，有着高达168位的加密措施，充分保证了数据在×××通道内传输的安全性。

　　4、×××网络的可管理性

　　随着技术的进步，各类×××软硬件解决方案都包含了路由、防火墙、×××网关等三方面的功能，企业或政府经过购买×××设备，达到一物多用的功 效，既知足了远程互联的要求，并且还能在至关程度上防止***的***、并能根据时间、IP、内容、Mac地址、服务内容、访问内容等多种服务来限制企业公司 内部员工上网时的行为，一举多得。

　　×××设备的安装调试、管理、维护都极为简单，并且都支持远程管理，大多数×××硬件设备甚至可经过中央管理器进行集中式的管理维护。出差人员 也能够经过客户端软件与中心的×××设备创建×××通道，从而达到访问中心数据等资源的目的。让互联无处不在，极大地方便了企业及政府的数据、语音、视频 等方面的应用。

5、windows 2003实现NAT地址转换和××× 服务器

　　下面咱们介绍一下经过Windows Server操做系统自带的路由和远程访问功能来实现NAT共享上网和×××网关的功能。网络拓扑图以下。咱们要实如今异地经过×××客户端访问总部局域网各类 服务器资源。

　　

第一步：系统前期准备工做

　　 服务器硬件：双网卡，一块接外网，一块接局域网。在windows2003中×××服务称之为“路由和远程访问”，默认状态已经安装。只需对此服务进行必要的配置使其生效便可。

　　首先肯定是否开启了Windows Firewall/Internet Connection Sharing (ICS)服务，若是开启了Windows Firewall/Internet Connection Sharing (ICS)服务的话，在配置“路由和远程访问”时系统会弹出以下对话框。

　　

　　咱们只要去“开始”-“程序”-“管理工具”-“服务”里面把Windows Firewall/Internet Connection Sharing (ICS)中止，并设置启动类型为禁用，以下图所示：

　　
第二步：开启×××和NAT服务

　　而后再依次选择“开始”-“程序”-“管理工具”-“路由和远程访问”，打开“路由和远程访问”服务窗口;再在窗口左边右击本地计算机名，选择“配置并启用路由和远程访问”，以下图所示：

　　

 

 

在弹出的“路由和远程访问 服务器安装向导”中点下一步，出现以下对话框。

　　

因为咱们要实现NAT共享上网和×××拨入 服务器的功能，因此咱们选择“自定义配置”选项，点下一步;

　　

　　在这里咱们选择“×××访问”和“NAT和基本防火墙”选项，点下一步，在弹出的对话框中点“完成”，系统会提示是否启动服务，点“是”，系统会按刚才的配置启动路由和远程访问服务，最后以下图所示;

　　

第三步：配置NAT服务

　　右击“NAT/基本防火墙”选项，选择“新增接口”，弹出以下对话框;

　　

　　在这里咱们根据本身的网络环境选择链接Internet的接口，选择“wan”接口，点“肯定”，弹出“网络地址转换-wan属性”对话框，进行以下图所示配置;

　　

　　因为咱们这个网卡是链接外网的因此选择“公用接口链接到Internet”和“在此接口上启用NAT”选项并选择“在此接口上启用基本防火墙”选项，这对 服务器的安全是很是重要的。

下面咱们点“服务和端口”设置 服务器容许对外提供PPTP ×××服务，在“服务和端口”界面里点“×××网关(PPTP)”，在弹出的“编辑服务”对话框中进行以下图设置;

　　

　　点“肯定”，回到“服务和端口”选项卡，确保选中“×××网关(PPTP)”，以下图;

　　
第四步：根据须要设置×××服务

　　设置链接数：右击右边树形目录里的端口选项，选择属性，弹出以下对话框;

　　

　　Windows Server 2003 企业版×××服务默认支持128个PPTP链接和128个L2TP链接，由于咱们这里使用PPTP协议，因此咱们双击“WAN微型端口(PPTP)选项， 在弹出的对话框里根据本身的须要设置所需的链接数;Windows Server 2003企业版最多支持30000个L2TP端口，16384个PPTP端口。

　　设置IP地址：右击右边树形目录里的本地 服务器名，选择“属性”并切换到IP选项卡(以下图所示)。

　　

　　这里咱们选择“静态地址池”点“添加”，根据须要接入数量任意添加一个地址范围，可是不要和本地IP地址冲突，以下图所示;

　　

　　点“肯定”回到“IP”选项卡，点“肯定”应用设置;

　　第五步：设置远程访问策略，容许指定用户拨入

　　新建用户和组：点“开始”-“程序”-“管理工具”-“计算机管理”，弹出“计算机管理”对话框，以下图;

　　

　　选择“本地用户和组”，右击“用户”-“新用户”进行以下图所示设置;

　　

　　点击“建立”新增一个用户;

　　在右边的树形目录中右击“组”-“新建组”，添入“组名”，点“添加”在弹出的“选择用户”对话框中，点“高级”-“当即查找”，选择刚才创建的“TEST”用户，把用户加入刚才创建的组，以下图;

　　
设置远程访问策略：在“路由和远程访问”窗口，右击右面树形目录中的“远程访问策略”，选择“新建远程访问策略”，在弹出的对话框中点“下一步”， 填入方便记忆的“策略名”，点“下一步”，选择“×××”选项，点“下一步”，点“添加”把刚才新建的组加入到这里，点“下一步”， “下一步”， “下一步”，“完成”，就完成了远程策略的设置，后面若是须要新的用户须要×××服务，只要为该用户新建一个账号，并加入刚才新建的“TEST”组就能够 了。

第六步：设置动态域名

　　咱们把动态域名放在这里来讲。由于通常企业接入互联网应该有固定IP，这样客户机即可随时随地对服务端进行访问;而若是你是家庭用户采用的 ADSL宽带接入的话，那通常都是每次上网地址都不同的动态IP，因此需在××× 服务器上安装动态域名解析软件，才能让客户端在网络中找到服务端并随时 能够拨入。笔者经常使用的动态域名解析软件为：花生壳，能够在[url]www.oray.net[/url]下载，其安装及注意事项请参阅相关资料，这里再也不详述

　　6、×××客户端配置

　　这一端配置相对简单得多，只需创建一个到×××服务端的专用链接便可。首先确定客户端也要接入internet网络，接着笔者一样以windows 2003客户端为例说明，其它的win2K操做系统设置都大同小异：

　　第一步：在桌面“网上邻居”图标点右键选属性，以后双击“新建链接向导”打开向导窗口后点下一步;接着在“网络链接类型”窗口里点选第二项“连 接到个人工做场所的网络”，继续下一步，在以下图所示网络链接方式窗口里选择第二项“虚拟专用网络链接”;接着为此链接命名后点下一步。

　　

　　第二步：在“××× 服务器选择”窗口里，等待咱们输入的是×××服务端的固定内容，能够是固定IP，也能够是由花生壳软件解析出来的动态域名 (此域名须要在提供花生壳软件的[url]www.oray.net[/url]网站下载);接着出现的“可用链接”窗口保持“只是我使用”的默认选项;最后，为方便操做，能够 勾选“在桌面上创建快捷方式”选项，单击完成即会先出现以下图所示的×××链接窗口。输入访问×××服务端合法账户后的操做就跟XP下“远程桌面”功能一 样了。链接成功后在右下角状态栏会有图标显示。

　　

　　第三步：链接后的共享操做，只要有过一些局域网使用经验的朋友应该知道怎么作了吧?一种办法是经过“网上邻居”查找×××服务端共享目录;另外一 种办法是在浏览器里输入×××服务端固定IP地址或动态域名也可打开共享目录资源。这其实已经跟在同一个局域网内的操做没什么区别了，天然也就能够直接点 击某个视频节目播放，省去下载文件这一步所花时间了。

　　7、总结

　　到这里咱们已经实现了用一台Windows Server 2003操做系统作一台NAT和×××远程接入 服务器，实现公司或家庭共享上网和×××远程接入访问本地局域网，实现移动办公。可是这台 服务器在安全性和 功能上还有必定缺陷，我将在后面的文章中陆续介绍搭建基于L2TP OVER IPSEC的××× 服务器，以加强数据在网络传输中的安全性。介绍搭建基于Microsoft Internet Security and Acceleration (ISA) Server 2006防火墙的远程接入 服务器，介绍基于Microsoft Internet Security and Acceleration (ISA) Server 2006的站点到站点的虚拟专用网络。