在 Windows Server 2003 Enterprise Edition 和 Windows Server 2003 Standard Edition 中为 Intranet 设置路由和远程访问
本分步指南介绍如何在 Windows Server 2003 Standard Edition 或 Windows Server 2003 Enterprise Edition 上设置路由和远程访问服务,从而允许通过身份验证的用户经由 Internet 远程连接到另一个网络。安全连接提供对所有内部网络资源的访问,如:消息、文件和打印共享以及 Web 服务器访问。该连接的远程特性对用户是透明的,因此使用远程访问的总体体验与在本地网络工作站上工作类似。
安装路由和远程访问服务
默认情况下,在 Windows Server 2003 的安装过程中将自动安装“路由和远程访问”服务,但该服务被禁用。
启用路由和远程访问服务
单击开始,指向管理工具,然后单击“路由和远程访问”。
在控制台的左侧窗格中,单击与本地服务器名称匹配的服务器图标。
如果该图标左下角有一个红圈,则说明未启用“路由和远程访问”服务。转到步骤 3。
如果图标左下角有一个向上的绿色箭头,则说明已启用该服务。如果是这样,您可能希望重新配置该服务器。要重新配置该服务器,您必须首先禁用“路由和远程访问”。为此,请右键单击该服务器,然后单击“禁用路由和远程访问”。当看到提示消息时,单击是。
右键单击该服务器,然后单击“配置并启用路由和远程访问”,启动“路由和远程访问服务器安装向导”。单击下一步。
单击“远程访问(拨号或 VPN)”,允许远程计算机拨入或通过 Internet 连接到本网络。单击下一步。
根据您为本服务器指定的角色,单击 VPN 进行虚拟专用访问,或单击拨号连接进行拨号访问。
在 VPN 连接页上,单击连接到 Internet 的网络接口,然后单击下一步。
在 IP 地址分配页上,执行下列操作之一:
如果使用 DHCP 服务器向远程客户端分配地址,则单击自动,然后单击下一步。转到步骤 8。
要仅从预定义池向远程客户端分配地址,请单击“来自一个指定的地址范围”。
备注:多数情况下,DHCP 选项的管理更为简单。不过,如果没有 DHCP,就必须指定一个静态地址范围。单击下一步。
向导将打开地址范围分配页。
单击新建。
在“起始 IP 地址”框中,键入要使用的地址范围内的第一个 IP 地址。
在“结束 IP 地址”框中,键入该范围内的最后一个 IP 地址。
Windows 将自动计算地址的数目。
单击确定,返回地址范围分配页。
单击下一步。
接受“不,使用路由和远程访问验证连接请求”这一默认设置,然后单击下一步。
单击完成,启用路由和远程访问服务,并配置远程访问服务器。
设置服务器来接收拨号连接后,应在客户端工作站上设置远程访问客户端连接。
设置客户端进行拨号访问
要设置客户端进行拨号访问,请在客户端工作站上按下列步骤操作。
备注:由于 Microsoft Windows 存在多个版本,因此在您的计算机上执行的步骤可能与下面所述的步骤有所不同。如果是这样,请参阅产品文档来完成这些步骤。
单击开始,单击控制面板,然后双击“网络连接”。
在网络任务下,单击“创建一个新的连接”,然后单击下一步。
单击“连接到我的工作场所的网络”以创建拨号连接,然后单击下一步。
单击“拨号连接”,然后单击下一步。
在“连接名”页上,键入此连接的描述性名称,然后单击下一步。
在“拨号电话号码”页上,在电话号码对话框中键入远程访问服务器的电话号码。
执行下列操作之一,然后单击下一步:
如果您希望允许任何登录到该工作站的用户有权访问此拨号连接,则单击“任何人使用”。
如果要使此连接仅供当前登录用户使用,则单击“只是我使用”。
单击完成,保存该连接。
设置客户端进行 VPN 访问
要设置客户端进行虚拟专用网络 (VPN) 访问,请在客户端工作站上执行下列步骤:
备注:由于 Microsoft Windows 存在多个版本,因此在您的计算机上执行的步骤可能与下面所述的步骤有所不同。如果是这样,请参阅产品文档来完成这些步骤。
单击开始,单击控制面板,然后双击“网络连接”。
在网络任务下,单击“创建一个新的连接”,然后单击下一步。
单击“连接到我的工作场所的网络”以创建拨号连接,然后单击下一步。
单击“虚拟专用网络连接”,然后单击下一步。
在连接名页上,键入此连接的描述性名称,然后单击下一步。
执行下列操作之一,然后单击下一步。
如果计算机已永久连接到 Internet,则单击“不拨初始连接”。
如果计算机通过 Internet 服务提供商 (ISP) 连接到 Internet,则单击“自动拨此初始连接”,然后单击 ISP 连接名。
键入 VPN 服务器计算机的 IP 地址或主机名(例如 VPNServer.SampleDomain.com)。
执行下列操作之一,然后单击下一步:
如果您希望允许任何登录到该工作站的用户有权访问此拨号连接,则单击“任何人使用”。
如果要使此连接仅供当前登录用户使用,则单击“只是我使用”。
单击完成,保存该连接。
授权用户访问远程访问服务器
您可以使用远程访问策略,根据一些条件 - 如一天中的时间、一周中的天、用户在基于 Windows Server 2003 的安全组中的成员身份,或是所请求的连接类型 - 来授予访问权限或拒绝访问。如果远程访问服务器是域成员,则可使用用户的域帐户配置这些设置。
如果该服务器是独立服务器或工作组成员,则用户必须在远程访问服务器上拥有本地帐户。
向单个用户帐户授予远程访问权限
如果基于用户帐户来管理远程登录,则应按照下列步骤授予远程访问权限:
单击开始,指向所有程序,指向管理工具,然后单击“Active Directory 用户和计算机”。
右键点击要授予远程访问权的帐户,单击属性,然后单击“拨入”选项卡。
单击“允许访问”授予用户拨入权限,然后单击确定。
基于组成员身份配置远程访问权限
如果基于组来管理远程登录,则应按照下列步骤授予远程访问权限:
创建一个包含有权创建 VPN 连接的成员的组。
单击开始,指向管理工具,然后单击“路由和远程访问”。
在控制台树中,展开“路由和远程访问”,展开服务器名称,然后单击远程访问策略。
右键单击右侧窗格,指向新建,然后单击远程访问策略。
单击下一步,键入策略名称,然后单击下一步。
单击 VPN 进行虚拟专用访问,或单击拨号进行拨号访问,然后单击下一步。
单击添加,键入您在步骤 1 中创建的组的名称,然后单击下一步。
按屏幕说明完成向导的操作。
如果 VPN 服务器已提供拨号网络远程访问服务,则不要删除默认策略,而应当移动其位置,以使其成为最后一个起作用的策略。
建立远程连接
备注:由于 Microsoft Windows 存在多个版本,因此在您的计算机上执行的步骤可能与下面所述的步骤有所不同。如果是这样,请参阅产品文档来完成这些步骤。
在客户端工作站上,单击开始,单击网络连接,然后单击您创建的新连接。
在用户名框中键入您的用户名。
如果希望连接的网络有多个域,则可能必须指定域名。如果属于此情况,则在用户名框中使用 域名 \ 用户名 格式。
在密码框中,键入您的密码。
如果您使用的是拨号连接,则检查拨号框中列出的电话号码,确保该号码正确无误。确保已指定了拨打外线或长途时必需的所有其他号码。
单击拨号或连接(用于 VPN 连接)。
您的计算机将创建到远程访问服务器的连接。该服务器验证用户身份,并在网络上注册您的计算机。
疑难解答
本节介绍如何解决您试图设置远程访问的过程中可能会遇到的一些问题。
并非所有用户的拨号配置设置均可用
如果基于 Windows Server 2003 的域使用混合模式,则并非所有配置选项均可用。管理员只能向用户授予访问权限或拒绝用户访问,并指定回拨选项(这些是 Microsoft Windows NT 4.0 中可用的访问权限设置)。其余选项会在该域切换到本机模式后可用。
用户可联系到服务器,但未经过身份验证
确保用户帐户已如第 2 节中所述那样被授予远程连接权限,并且已通过 Active Directory 进行了身份验证。“远程访问”服务器还必须是“RAS 和 IAS 服务器”组的成员。