Windows Server 2003搭建×××服務器

近來，隨着中國經濟的騰飛、各類工業企業投資增長，中國已經成爲世界的製造中心。大型生產型、經營型企業的生產、調度早已經就嚴重依賴於網絡。

　　隨着企業規模的不斷擴大，異地分支機構、辦事處、連鎖超市、經營部門、生產部門，以及投資管理機構，甚至出差人員對中心的數據愈來愈敏感，所以，這些企業大都已經或者正準備安裝大型網絡型ERP/財務軟件用以知足以上各種需求。然而企業在付出高昂的軟件安裝部署實施費用後，大都爲如何減小軟件的運行費用而憂心重重。互聯網的方便、高速和覆蓋並無被企業網充分利用，由於任何企業的IT經理都不會將企業內部網直接鏈接到互聯網，企業內部網與互聯網之間都會設置防火牆，只容許內部網絡結點向互聯網發起請求，進行互聯網的訪問，但不容許經過互聯網結點訪問企業內部的信息。所以公司老總很晚才下班，要在公司處理完全部的數據、郵件，儘管家中有寬帶，但那是互聯網接入，不能接到公司內部網絡;出差在外的員工必須拔打昂貴的800號碼或長途電話才能訪問公司內部信息，以大約28.8Kbps的速率鏈接到公司內部網絡，酒店的寬帶接口卻放在一邊不能用。有什麼好辦法既能保證數據傳輸的安全性，又能下降運行成本呢?DDN專線嗎，確定不行，相關設備的安裝難度，路由器等網絡設備的大筆投入不說，光是每個月昂貴的租用費用，隨着分支機構的增長，這種負擔正成爲企業支出費用的大筆開銷!利用傳統的撥號線路嗎?緩慢的速度，設備安裝調試、管理、維護的問題更是讓企業信息負責人望而卻步。有沒有一種更好的解決方案呢?怎樣才能利用高速、便利的互聯網接入安全地實現移動辦公，在家辦公呢?答案是遠程接入×××。

　　1、什麼是×××?

　　虛擬專用網(×××，Virtual Private Network)是一種利用公共網絡來構建的私人專用網絡技術，不是真的專用網絡，但卻可以實現專用網絡的功能。虛擬專用網指的是依靠ISP(Internet服務提供商)和其它NSP(網絡服務提供商)，在公用網絡中創建專用的數據通訊網絡的技術。 在虛擬專用網中，任意兩個節點之間的鏈接並無傳統專網所需的端到端的物理鏈路，而是利用某種公衆網的資源動態組成的。IETF草案理解基於IP的×××爲："使用IP機制仿真出一個私有的廣域網"是經過私有的隧道技術在公共數據網絡上仿真一條點到點的專線技術。所謂虛擬，是指用戶再也不須要擁有實際的長途數據線路，而是使用Internet公衆數據網絡的長途數據線路。所謂專用網絡，是指用戶能夠爲本身制定一個最符合本身需求的網絡。

　　2、×××的安全性

　　目前×××主要採用四項技術來保證安全，這四項技術分別是隧道技術(Tunneling)、加解密技術(Encryption & Decryption)、密鑰管理技術(Key Management)、使用者與設備身份認證技術(Authentication)。

　　一、隧道技術

　　隧道技術是×××的基本技術相似於點對點鏈接技術，它在公用網創建一條數據通道(隧道)，讓數據包經過這條隧道傳輸。隧道是由隧道協議造成的，分爲第2、三層隧道協議。第二層隧道協議是先把各類網絡協議封裝到PPP中，再把整個數據包裝入隧道協議中。這種雙層封裝方法造成的數據包靠第二層協議進行傳輸。第二層隧道協議有L2F、PPTP、L2TP等。L2TP協議是目前IETF的標準，由IETF融合PPTP與L2F而造成。 　 第三層隧道協議是把各類網絡協議直接裝入隧道協議中，造成的數據包依靠第三層協議進行傳輸。第三層隧道協議有VTP、IPSec等。IPSec(IP Security)是由一組RFC文檔組成，定義了一個系統來提供安全協議選擇、安全算法，肯定服務所使用密鑰等服務，從而在IP層提供安全保障。

　　二、加解密技術

　　加解密技術是數據通訊中一項較成熟的技術，×××可直接利用現有技術。

　　三、密鑰管理技術

　　密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取。現行密鑰管理技術又分爲SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則，在網絡上傳輸密鑰;在ISAKMP中，雙方都有兩把密鑰，分別用於公用、私用。

　　四、使用者與設備身份認證技術

　　使用者與設備身份認證技術最經常使用的是使用者名稱與密碼或卡片式認證等方式，目前這方面作的比較成熟的有國內的深信福科技的×××解決方案。

 

3、×××網絡的可用性

　　經過×××，企業能夠以更低的成本鏈接遠程辦事機構、出差人員以及業務合做夥伴關鍵業務。虛擬網組成以後，遠程用戶只需擁有本地ISP的上網權 限，就能夠訪問企業內部資源，這對於流動性大、分佈普遍的企業來講頗有意義，特別是當企業將×××服務延伸到合做夥伴方時，便能極大地下降網絡的複雜性和 維護費用。

　　×××技術的出現及成熟爲企業實施ERP、財務軟件、移動辦公提供了最佳的解決方案。

　　一方面，×××利用現有互聯網，在互聯網上開拓隧道，充分利用企業現有的上網條件，無需申請昂貴的DDN專線，運營成本低。

　　另外一方面，×××利用IPSEC等加密技術，使在通道內傳輸的數據，有着高達168位的加密措施，充分保證了數據在×××通道內傳輸的安全性。

　　4、×××網絡的可管理性

　　隨着技術的進步，各類×××軟硬件解決方案都包含了路由、防火牆、×××網關等三方面的功能，企業或政府經過購買×××設備，達到一物多用的功 效，既知足了遠程互聯的要求，並且還能在至關程度上防止***的***、並能根據時間、IP、內容、Mac地址、服務內容、訪問內容等多種服務來限制企業公司 內部員工上網時的行爲，一舉多得。

　　×××設備的安裝調試、管理、維護都極爲簡單，並且都支持遠程管理，大多數×××硬件設備甚至可經過中央管理器進行集中式的管理維護。出差人員 也能夠經過客戶端軟件與中心的×××設備創建×××通道，從而達到訪問中心數據等資源的目的。讓互聯無處不在，極大地方便了企業及政府的數據、語音、視頻 等方面的應用。

5、windows 2003實現NAT地址轉換和××× 服務器

　　下面咱們介紹一下經過Windows Server操做系統自帶的路由和遠程訪問功能來實現NAT共享上網和×××網關的功能。網絡拓撲圖以下。咱們要實如今異地經過×××客戶端訪問總部局域網各類 服務器資源。

　　

第一步：系統前期準備工做

　　 服務器硬件：雙網卡，一塊接外網，一塊接局域網。在windows2003中×××服務稱之爲「路由和遠程訪問」，默認狀態已經安裝。只需對此服務進行必要的配置使其生效便可。

　　首先肯定是否開啓了Windows Firewall/Internet Connection Sharing (ICS)服務，若是開啓了Windows Firewall/Internet Connection Sharing (ICS)服務的話，在配置「路由和遠程訪問」時系統會彈出以下對話框。

　　

　　咱們只要去「開始」-「程序」-「管理工具」-「服務」裏面把Windows Firewall/Internet Connection Sharing (ICS)中止，並設置啓動類型爲禁用，以下圖所示：

　　
第二步：開啓×××和NAT服務

　　而後再依次選擇「開始」-「程序」-「管理工具」-「路由和遠程訪問」，打開「路由和遠程訪問」服務窗口;再在窗口左邊右擊本地計算機名，選擇「配置並啓用路由和遠程訪問」，以下圖所示：

　　

 

 

在彈出的「路由和遠程訪問 服務器安裝嚮導」中點下一步，出現以下對話框。

　　

因爲咱們要實現NAT共享上網和×××撥入 服務器的功能，因此咱們選擇「自定義配置」選項，點下一步;

　　

　　在這裏咱們選擇「×××訪問」和「NAT和基本防火牆」選項，點下一步，在彈出的對話框中點「完成」，系統會提示是否啓動服務，點「是」，系統會按剛纔的配置啓動路由和遠程訪問服務，最後以下圖所示;

　　

第三步：配置NAT服務

　　右擊「NAT/基本防火牆」選項，選擇「新增接口」，彈出以下對話框;

　　

　　在這裏咱們根據本身的網絡環境選擇鏈接Internet的接口，選擇「wan」接口，點「肯定」，彈出「網絡地址轉換-wan屬性」對話框，進行以下圖所示配置;

　　

　　因爲咱們這個網卡是鏈接外網的因此選擇「公用接口鏈接到Internet」和「在此接口上啓用NAT」選項並選擇「在此接口上啓用基本防火牆」選項，這對 服務器的安全是很是重要的。

下面咱們點「服務和端口」設置 服務器容許對外提供PPTP ×××服務，在「服務和端口」界面裏點「×××網關(PPTP)」，在彈出的「編輯服務」對話框中進行以下圖設置;

　　

　　點「肯定」，回到「服務和端口」選項卡，確保選中「×××網關(PPTP)」，以下圖;

　　
第四步：根據須要設置×××服務

　　設置鏈接數：右擊右邊樹形目錄裏的端口選項，選擇屬性，彈出以下對話框;

　　

　　Windows Server 2003 企業版×××服務默認支持128個PPTP鏈接和128個L2TP鏈接，由於咱們這裏使用PPTP協議，因此咱們雙擊「WAN微型端口(PPTP)選項， 在彈出的對話框里根據本身的須要設置所需的鏈接數;Windows Server 2003企業版最多支持30000個L2TP端口，16384個PPTP端口。

　　設置IP地址：右擊右邊樹形目錄裏的本地 服務器名，選擇「屬性」並切換到IP選項卡(以下圖所示)。

　　

　　這裏咱們選擇「靜態地址池」點「添加」，根據須要接入數量任意添加一個地址範圍，可是不要和本地IP地址衝突，以下圖所示;

　　

　　點「肯定」回到「IP」選項卡，點「肯定」應用設置;

　　第五步：設置遠程訪問策略，容許指定用戶撥入

　　新建用戶和組：點「開始」-「程序」-「管理工具」-「計算機管理」，彈出「計算機管理」對話框，以下圖;

　　

　　選擇「本地用戶和組」，右擊「用戶」-「新用戶」進行以下圖所示設置;

　　

　　點擊「建立」新增一個用戶;

　　在右邊的樹形目錄中右擊「組」-「新建組」，添入「組名」，點「添加」在彈出的「選擇用戶」對話框中，點「高級」-「當即查找」，選擇剛纔創建的「TEST」用戶，把用戶加入剛纔創建的組，以下圖;

　　
設置遠程訪問策略：在「路由和遠程訪問」窗口，右擊右面樹形目錄中的「遠程訪問策略」，選擇「新建遠程訪問策略」，在彈出的對話框中點「下一步」， 填入方便記憶的「策略名」，點「下一步」，選擇「×××」選項，點「下一步」，點「添加」把剛纔新建的組加入到這裏，點「下一步」， 「下一步」， 「下一步」，「完成」，就完成了遠程策略的設置，後面若是須要新的用戶須要×××服務，只要爲該用戶新建一個賬號，並加入剛纔新建的「TEST」組就能夠 了。

第六步：設置動態域名

　　咱們把動態域名放在這裏來講。由於通常企業接入互聯網應該有固定IP，這樣客戶機即可隨時隨地對服務端進行訪問;而若是你是家庭用戶採用的 ADSL寬帶接入的話，那通常都是每次上網地址都不同的動態IP，因此需在××× 服務器上安裝動態域名解析軟件，才能讓客戶端在網絡中找到服務端並隨時 能夠撥入。筆者經常使用的動態域名解析軟件爲：花生殼，能夠在[url]www.oray.net[/url]下載，其安裝及注意事項請參閱相關資料，這裏再也不詳述

　　6、×××客戶端配置

　　這一端配置相對簡單得多，只需創建一個到×××服務端的專用鏈接便可。首先確定客戶端也要接入internet網絡，接着筆者一樣以windows 2003客戶端爲例說明，其它的win2K操做系統設置都大同小異：

　　第一步：在桌面「網上鄰居」圖標點右鍵選屬性，以後雙擊「新建鏈接嚮導」打開向導窗口後點下一步;接着在「網絡鏈接類型」窗口裏點選第二項「連 接到個人工做場所的網絡」，繼續下一步，在以下圖所示網絡鏈接方式窗口裏選擇第二項「虛擬專用網絡鏈接」;接着爲此鏈接命名後點下一步。

　　

　　第二步：在「××× 服務器選擇」窗口裏，等待咱們輸入的是×××服務端的固定內容，能夠是固定IP，也能夠是由花生殼軟件解析出來的動態域名 (此域名須要在提供花生殼軟件的[url]www.oray.net[/url]網站下載);接着出現的「可用鏈接」窗口保持「只是我使用」的默認選項;最後，爲方便操做，能夠 勾選「在桌面上創建快捷方式」選項，單擊完成即會先出現以下圖所示的×××鏈接窗口。輸入訪問×××服務端合法賬戶後的操做就跟XP下「遠程桌面」功能一 樣了。鏈接成功後在右下角狀態欄會有圖標顯示。

　　

　　第三步：鏈接後的共享操做，只要有過一些局域網使用經驗的朋友應該知道怎麼作了吧?一種辦法是經過「網上鄰居」查找×××服務端共享目錄;另外一 種辦法是在瀏覽器裏輸入×××服務端固定IP地址或動態域名也可打開共享目錄資源。這其實已經跟在同一個局域網內的操做沒什麼區別了，天然也就能夠直接點 擊某個視頻節目播放，省去下載文件這一步所花時間了。

　　7、總結

　　到這裏咱們已經實現了用一臺Windows Server 2003操做系統作一臺NAT和×××遠程接入 服務器，實現公司或家庭共享上網和×××遠程接入訪問本地局域網，實現移動辦公。可是這臺 服務器在安全性和 功能上還有必定缺陷，我將在後面的文章中陸續介紹搭建基於L2TP OVER IPSEC的××× 服務器，以加強數據在網絡傳輸中的安全性。介紹搭建基於Microsoft Internet Security and Acceleration (ISA) Server 2006防火牆的遠程接入 服務器，介紹基於Microsoft Internet Security and Acceleration (ISA) Server 2006的站點到站點的虛擬專用網絡。