第二步:实施DHCP 服务
1. 打开服务器的控制面板,选择“ 添加或删除程序”。
2. 当“ 添加或删除程序”对话框出现时,点击“ 添加 / 删除Windows 组件 ”按钮。
3. 在弹出的窗口中,选择“ 网络服务”,按下“ 详细信息”。
4. 现在从网络服务列表中选择“ 动态主机配置协议( DHCP ) ”,然后单击“ 确定”,进行下一步操作。
Windows 现在将安装DHCP 服务,安装结束后,你将要创建一个地址范围,并且启动DHCP 服务器,在你的网络上运行。
5. 为了做到这些,请在控制面板――管理工具中选择动态主机配置协议(DHCP )配置,打开DHCP 管理器。
6. 在DHCP 管理器中你的服务器上单击右键,选择 启动( Authorize ) 。
7. 启动DHCP 服务器后,在DHCP 管理器的服务器列表窗口中单击右键,选择“ 新建作用域( New Scope ) ”,这将启动新建作用域向导。
8. 点击下一步略过向导的欢迎界面。
9. 输入你正在创建的作用域的名称,并且点击下一步。(你可以输入任何你想到的名称,但在这个教程中,我将命名此作用域为“Corporate Network ”。)
10. 现在你将需要填入IP 地址范围。在这里只需输入你已经使用的起始IP 地址和结束IP 地址,但注意不要与已经存在的IP 地址冲突。长度和子网掩码部分则会自动输入,不需要你的干涉,当然,你也可以手动调节这两者的值。
11. 接下来的三个画面包括一些你不必关心的设置,连续三次点击下一步,直到你进入“ 路由(默认网关)( Router (Default Gateway) ) ”界面。
12. 输入你网络网关的IP 地址,点击添加,然后下一步。
13. 输入你的域的名称和你的DHCP 服务器的IP 地址(IP address of your DHCP server ),然后点击下一步。
14. 单击下一步略过WINS 配置窗口。
15. 最后,根据提示选“ 是,我想激活作用域( Yes, I Want To Activate The Scope Now ) ”再点击“完成”即可结束最后设置。
第三步:创建一个企业认证中心
在我向你讲述如何创建一个企业认证中心之前,我将告诉你几个必需注意的事项。安装认证中心并不是一个轻松的过程,如果一个未经授权的用户进入了你的认证中心,他将几乎控制你的所有网络。同样,如果认证中心服务器当机,它可能对给你的网络带来毁灭性的破坏。
所以,一定要像保护×××一样保护你的认证中心,确保认证中心尽可能的安全,并频繁的做好全系统的备份,你还需要保护这些备份,以防止它们偶然地出现问题。下面是创建企业认证中心的具体过程。
1. 打开服务器的控制面板,选择“ 添加或删除程序”,点击其中的“ 添加 / 删除Windows 组件 ”按钮。
2. 选择Windows 组件中的“ 证书服务”。
3. 你将会看到一个警告窗口,上面的信息为:“安装证书服务后,计算机名和域成员身份都不能更改,因为计算机名到CA 信息的绑定存储在Active Directory 中。更改计算机名或域成员身份将使此CA 颁发的证书无效。在安装证书服务前请确认配置了正确的计算机名和域成员身份。您想继续吗? ”点击“是”,接受这一警告信息,并点击“下一步”,开始安装证书服务。
4. 选择“独立根CA ”作为你想安装的CA 类型,并点击下一步。
在这里,为自己的CA 服务器取个名字,设置证书的有效期限。默认的证书有效期限为5 年,不过你可以通过企业安全策略来增加或减少此有效期限。
5. 填写好这两个文本框,点击下一步,Windows 将开始生成加密密钥。
6. 最后指定证书数据库和证书数据库日志的位置,按照默认即可,除非你自己想更换路径,然后点击下一步。
7. 现在将出现一则消息,提示Windows 必需重新启动IIS 服务,才能够让证书服务正常运行。点击“是”,Windows 将安装必要的组件。
第四步:安装Internet 验证服务
Internet 验证服务是Windows Server 2003 实施RADIUS 的一种服务,Internet 验证服务将认证那些通过××× 连接进入你的企业网络的用户,因此,你的Internet 验证服务器必需是你的域服务器中的一员,并且运行Windows Server 2003 操作系统。为了正确安装IAS ,请遵循以下的步骤:
1. 定位到开始 | 设置 | 控制面板(Start| Settings | Control Panel )。
2. 双击 添加或删除程序 (Add/Remove Programs) 。
3. 选择 添加 / 删除Windows 组件(Add/Remove Windows Components) 。
4. 在组件列表中,选择 网络服务 (Networking Services) ,并点击详细内容。
5. 选择 Internet 验证服务(Internet Authentication Service) 的确认框,然后点击OK ,并点击下一步。
完成安装之后,系统中将具有用于因特网认证服务的管理工具的一个新的连接。接着,你必须为每一台机器设置一个客户端,并指定一个远距离访问规范以控制访问。
第五步:配置Internet 验证服务
1. 进入 管理工具( Administrative Tools )-> Internet 验证服务(Internet Authentication Service ) 。
2. 在这里,你需要做的第一件事情是在活动目录(Active Directory )中注册你的Internet 验证服务器。为了做到这些,请在 Internet 验证服务器(本地)(Internet Authentication Service (Local) ) 容器上单击右键,选择 在活动目录中注册服务器( Register Server in Active Directory ) 。
3. 点击确定完成注册过程。
4. 现在,在 RADIUS 客户(RADIUS Clients ) 容器上单击右键,选择新 RADIUS 客户(RADIUS Clients ) 。如果你正好直到你某台客户端机器的IP 地址或DNS 名称,继续下去,输入一个友好的名字。否则,暂时将它留空,在随后的设置客户端连接时再进行填写。
5. 点击下一步。
6. 此时,会提示你输入一个共享的密钥。共享密钥是RADIUS 服务器和客户端同时使用的密钥,确定客户端供应商选项设置为RADIUS 标准,输入一个共享密钥值,点击完成。
第六步:创建远程访问策略
1. 在Internet 验证服务控制台,右击 远程访问策略( Remote Access Policies ) 容器,选择 新建远程访问策略( New Remote Access Policy ) 选项,这将启动新建远程访问策略向导。
2. 在欢迎使用新建远程访问策略向导页,点击下一步。
3. 在策略配置方式页,选择使用向导为 通用环境建立典型的策略( Typical Policy for a Common Scenario ) 选项,在策略名字文本框中输入一个名字,在此我们命名为“××× Access ”,点击下一步。
4. 在访问方式页,选择××× 选项,然后点击Next 。
5. 在访问的组或者用户页,选择组或用户,然后点击添加。如果你还没有做这一步,我建议你花一些事件创建一个建立在能够通过××× 访问网络的用户纸上的活动目录组,然后将这个组添加进入策略。
6. 点击下一步,进入认证方法窗口。
7. 确认选择了“ Microsoft Encrypted Authentication version 2 (MS CHAPV2) ”,然后点击下一步。
8. 在策略加密级别页,确认只选择了“ Strong encryption ”选项,随后点击下一步,根据向导,在完成新建远程访问策略向导页点击完成。
第七步:配置××× 服务器
1. 开始,请打开服务器的 网络连接( Network Connections ) 目录,并将连接重命名为有意义的名字,例如,你可以将连接命名为企业和Internet ,或者其它你喜欢的名字。
2. 进入 管理工具( Administrative Tools )-> 路由和远程访问(Routing and Remote Access ) ,打开路由和远程访问管理器。
3. 在管理器目录数中,右键单击你的××× 服务器,选择 配置和启用路由和远程访问( Configure and Enable Routing and Remote Access ) ,这将载入 路由和远程访问服务器设置向导( Routing and Remote Access Server Setup Wizard ) 。
4. 点击下一步,略过向导的欢迎页面,然后你将看到向导的配置窗口。
5. 选择 远程访问(拨号或 ××× )Remote Access (Dial-Up or ×××) ,然后点击下一步。
6. 选中××× 前面的复选框,点击下一步。
7. 现在,你将看到一个窗口,此窗口中显示有你的机器的网络连接。选择连接Internet 的那个连接,确认 启用安全( Enable Security ) 复选框被选择,然后单击下一步。
8. 确认选中了 自动( Automatically ) ,并点击下一步。
9. 现在,在选项中选择和设置跟RADIUS 服务器一起工作的服务器,并单击下一步。
10. 输入你的 RADIUS 服务器的IP 地址 ,和你为RADIUS 服务器分配的共享密钥信息。
11. 点击下一步,点击完成。
第八步:使××× 服务器和DHCP 服务器关联起来
1. 在路由和远程访问控制台目录数中指向你的服务器-> IP 路由(IP Routing )-> DCHP 中继代理(DHCP Relay Agent ) 。
2. 在DHCP 中继代理上单击右键,选择 属性( Properties ) 。
3. 输入你的DHCP 服务器的IP 地址,点击添加,然后再单击确定。
现在你的××× 服务器已经配置好了。万事俱备,剩下的唯一要做的就是配置你的客户端,使它们与你刚刚创建的××× 服务协同工作。
第九步:配置远程客户端
你应该可以记起,我们必需为那些能够通过××× 访问企业内部网络的用户创建一个特别的安全组。所以,我假设你的远程用户已经被加入必要的组,并且客户端的计算机已经接入了Internet 。
允许一台运行Windows XP 操作系统的客户端计算机访问你的专用网络,就必需告诉它们如何使用××× 连接。
1. 为了做到这些,请打开 控制面板( Control Panel ) ,选择 网络和 Internet 连接(Network and Internet Connections ) 选项。
2. 创建一个新连接,在向导中选择 连接到我的工作场所的网络( Connection to the Network At Your Workplace ) 选项。
3.Windows 现在将询问你,想创建一个 拨号连接( dial-up connection ) ,还是一个 虚拟专用网络连接( ××× connection ) 。选择虚拟专用网络连接,点击下一步。
4. 在这一步,你将看到公司名的项目,你能够在这里输入你公司的名字,你连接的服务器的名字,或者其它你用来描述连接的东西。
5. 点击下一步,你将被要求输入你正连接的计算机的主机名或IP 地址,请填入你的××× 服务器的外网IP 地址(即连接进入Internet 的IP 地址)。
6. 再次单击下一步 ,根据向导最后完成你的××× 连接创建。
第十步:测试客户端连接
1. 双击可用连接列表中的××× 连接。
2. 你将被要求输入用户名和密码。为了更好的使用××× 连接,我们还需要进行一些设置,因此请点击此界面中的 属性( Properties ) 按钮。
3. 在属性窗口中,选择网络(Networking )标签。
4. 选择××× 类型为 PPTP ××× ,按下确定按钮。
5. 现在你将回到××× 连接登陆窗口,以 domain/username 格式输入你的用户名 。
6. 然后输入你的密码,点击连接(Connect )。
7. 这里可能会提供一个机会,让你选择想连接那个网络。如果有提示,选择局域网连接(LAN Connection )选项。
8. 一旦连接建立,请在开始-> 运行中输入 \\servername\ROOT 命令。
你应该可以看到你的服务器的C 盘的内容(假设你有相应的权限)。当然,这种直接访问服务器C 盘的方式非常罕见,多数情况下,你只能访问服务器上的特定共享资源,而要做到这些,你应该在开始-> 运行中输入\\servername\sharename 。
第十一步:改变××× 的配置选项
在这个手把手的指南中,我只概述了半打客户端××× 连接类型中的一个,根据不同的加密和认证技术,存在多种多样的××× 连接类型,若是你对此非常有兴趣,则可以参考微软的《 Step-by-Step Guide for Setting Up ×××-based Remote Access in a Test Lab 》,