VPN服务器配置详解

借助VPN，企业外出人员可随时连到企业的VPN服务器，进而连接到企业内部网络。借助windows2003的“路由和远程访问”服务，可以实现基于软件的VPN。VPN（VirtualPrivateNetwork）即虚拟专用网络，通过一个公用网络（如Internet）建立一个临时的、安全的、模拟的点对点连接。这是一条穿越公用网络的信息隧道，数据可以通过这条隧道在公用网络中安全地传输。因此也可形象地称之为“网络中的网络”。而保证数据安全传输的关键就在于VPN使用了隧道协议，目前常用的隧道协议有PPTP、L2TP和IPSec。VPN是基于Windows2003，通过ADSL接入Internet的服务器和客户端，连接方式为客户端通过Internet与服务器建立VPN连接。VPN服务器需要两块网卡，一个连入内网一个连入外网。Authentication(验证)：设置哪些用户可以通过VPN访问服务器资源。在DC上做身份验证。Authorization（授权）：检查客户端是否可以拨入服务器，是否符合拨入条件（时间，协议……）VPN工作原理：VPN客户端请求VPN服务器（请求拨入服务器）VPN服务器请求DC进行身份验证，然后得到授权信息VPN服务器回应VPN客户端拨号请求。VPN服务器与客户端建立连接，并开始传送数据。工作组模型下VPN服务器做身份验证，拨号请求发送至SAM数据库做身份验证。1.VPN使用的协议（隧道协议）：PPTP，L2TP2.PPTP：点对点传输协议，使用nicrosoftpoint-to-pointencryption（MPPE）加密算法（默认采用协议）针对于internet。L2TP：默认无加密算法，若想使用加密算法，结合IPsec。针对于internet、X.25、ATM用户帐号拨入权限：条件、权限、配置文件决定了客户端是否可以拨入VPN网络。配置文件包括：拨入时间，IP地址范围，是否支持多链路，何种身份验证，是否加密。配置过程：路由和远程访问-远程访问策略-进行相应时间，配置文件设置配置VPN服务器步骤如下：首先安装“路由和远程访问”，或者在运行里输入“rrasmgmt.msc”，在弹出的“路由和远程访问”管理控制台窗口中，单击配置并启用路由和远程访问，如图所示：弹出“路由和远程访问服务器安装向导”对话框，单击下一步，选中自定义配置，下一步，选择自定义配置，如图：选中VPN访问，下一步，如图所示：单击完成。在弹出的路由和远程访问对话框中，单击是，如图所示。随即，VPN服务即成功启动。单击服务器名称-属性，在弹出的对话框中选中IP选项卡，在IP地址指派中选中静态地址池，单击添加，如图所示：在起始IP地址和结束IP地址编辑框中输入IP地址，单击确定，如图：单击确定；提示：使用静态IP地址池为客户端分配IP地址可以减少IP地址解析时间，提高连接速度。起始IP地址和结束IP地址可以自定义一段IP地址（如192.168.0.10至192.168.0.50）如这台主机已经配置了DHCP服务，也可以选择动态主机配置协议（DHCP），会延长连接时间。返回属性对话框，单击确定，完成初步配置操作。提示：如果服务器端有固定的IP地址，则客户端可随时与服务器建立VPN连接。如果服务器采用ADSL拨号方式接入Internet，则需要在每次更改IP地址后通知客户端，或者申请动态域名解析服务。赋予用户远程连接的权限出于安全考虑，VPN服务器配置完成以后所有用户均被拒绝拨入到服务上（初始状态）因此需要为指定用户赋予拨入权限，操作步骤如下：1．VPN服务器中右击我的电脑，选择管理。在弹出的计算机管理窗口，展开本地用户和组，选中用户。如图：如果计算机加入了域，则单击AD用户和计算机中的user组中的用户，如图：2．在test属性对话框中，单击拨入选项卡。在远程访问权限中选中允许访问，单击确定，如图所示：提示：如果域功能级别为windows2000混合模式，则“通过远程访问策略控制访问”不可选，提升域功能级别即可。3．其实此为安全性最差的拨入方式，建议选中通过远程访问策略控制访问，这需要在服务器中定制远程访问策略（若为AD域环境下，须将域功能级别提升到03以上）完成VPN服务器的配置操作，并赋予特定用户远程连接VPN服务器的权限以后，还需要在客户端中创建VPN连接并拨入VPN服务器，才能实现对企业内部网络的访问。客户端创建VPN连接客户端配置比较简单，只需建立一个VPN的专用连接即可。假设客户端已建立了一个接入Internet的ADSL连接，创建VPN连接的步骤如下所述：1.桌面右击网上邻居-属性，打开网络连接。单击新建连接，如图所示：2.弹出“欢迎使用新建连接向导”，下一步，网络连接类型页面中选择“连接到我的工作场所的网络”。下一步，如图所示：3.选择“虚拟专用网络连接”，下一步；提示：如果是第一次建立连接，系统会要求输入所在地区的电话区号。如果在建立VPN连接前已经建立了其他连接（如ADSL接入Internet的连接）则不会出现该提示。4.在连接名对话框中，在公司名中，输入连接名称（连接到sungh.com域）单击下一步；5.VPN服务器选择中，选择主机名或者IP地址，下一步；6.可用连接上选择“只是我使用”，单击下一步；7.在完成新建连接向导中，选择“在我的桌面上添加一个到此连接的快捷方式”，完成；为了避免出现成功连接VPN服务器后客户端不能访问Internet的问题，用户还需要对刚刚创建的“企业VPN连接”做简单的配置。在“网络连接”窗口中右击企业VPN连接-属性,切换至“网络”选项卡，选择Internet协议（TCP/IP），如图；单击属性，在弹出的对话框中，选择高级，如图；在“高级TCP/IP设置”对话框的“常规”中取消选中的“在远程网络上使用默认网关”，单击确定，如图所示。客户端VPN连接配置完毕，用户已经具备了在VPN服务器和客户端建立VPN连接的条件。单击桌面上的企业VPN连接，输入用户名和密码（被赋予权限的用户名和密码），如图：成功建立VPN连接以后，可以双击桌面右下角的VPN连接图标查看其状态，如图所示；如何访问VPN服务器上的共享资源呢，有两种方法：1)通过“网上邻居”直接访问共享资源；2)通过UNC路径访问，即在地址栏中输入“\\服务器名”或\\服务器地址，通过浏览器窗口访问共享资源。提示：在成功建立VPN连接后可能会出现客户端和服务端的“网上邻居”窗口中无法找到对方的问题，这时应该检查两者是否均安装了NetBEUI协议。如果没有应该马上安装，通常可以解决该问题。如果客户端在访问服务器端的共享资源的时候可能会出现长时间的搜索过程。如果迟迟找不到服务器，可以使用“搜索计算机”进行搜索。如果VPN服务器端同时又作为局域网内的一台主机，用户还可以让VPN客户端进一步访问局域网内的其他主机。这需要VPN服务端开启了路由器功能并启用了IP路由，不过在VPN服务器配置完成后这些功能都是默认启用的。WSUS服务器设置解析（二）接着上文WSUS服务器设置解析（一）介绍WSUS补丁分发过程：下载的补丁必须经过WSUS的批准才能分发到客户端，如图所示：WSUS接入互联网，即与微软的补丁服务器做同步更新，右侧显示出检测到需要做的更新，每个更新前的图标是灰色的，代表此更新没有被批准安装。选择所有更新，单击“更改批准”，如图弹出对话框；可以对不同的计算机组设定不同的更新补丁策略，可以设定安装或者仅检测，或者未许可，排除不需要的补丁，如X64的补丁。设定完成后，WSUS开始对补丁状态进行更改，如图所示。设置完成后，更新前的图标变成了绿色箭头，这代表此更新被批准安装，现正在下载中，但还没有下载完毕。如果下载完成，图标会变为蓝色桶状。自动批准选项的设置：如手动批准安装较烦，可以设定自动批准安装，如图所示，单击自动批准选项；可以设定需要补丁更新的计算机组和更新的分类，如图所示；切换到客户端计算机中，将导出的注册表导入到客户端计算机中，此时，客户端计算机中的任务栏右下角出现更新图标，提示进行更新。；点击即可进行安装，输入systeminfo即可查看进行了哪些更新补丁分发状况的查看：若了解客户端补丁的分发情况，可以单击报告，如图所示；如图，即可查看更新状态。配置WSUS下游服务器：新建个主机，欲使其设置成WSUS的下游服务器，做以下设置即可；如图，单击选项-同步选项。在更新源处填写上游服务器的名称，然后单击保存设置，立即同步，如图：设置下游服务器可以快速的从上游服务器进行补丁更新，且更新补丁速度快于从微软补丁服务器的更新速度。有效的减少带宽。适用于父子公司模式；因为是从上游WSUS服务器进行更新，所以无法对产品分类进行更改；语言版本也无法更改，可以设置哪些服务器可以成为下游服务器，如图，在上游服务器中打开C:\ProgramFiles\UpdateServices\WebServices\serversyncwebservice\web.config，添加如下代码；注：win2003-2是指指定的下游服务器的名称（XX域\YY主机）上下游服务器必须在同一域内或有信任关系的两个域内。随后，在上游服务器中单击IIS信息服务管理器，如图；单击IIS服务器-网站-默认网站-ServerSyncWebService属性，在弹出的页面中选择目录安全性，单击编辑，取消勾选“启用匿名访问”，勾选“集成windows身份验证”，即完成了上游WSUS服务器对下游WSUS服务器进行身份验证的需求，未指定的下游服务器同步上游服务器时就会出现错误。WSUS导入导出：如果一个与网络隔绝的局域网内使用WSUS，向局域网内的主机分发补丁，使用WSUS的导入导出即可实现。WSUS服务器下载的数据包括两部分：更新文件和元文件。更新文件存储在文件夹里，元文件存储在数据库中。更新文件的导入导出直接复制文件夹即可。元文件的导入导出则通过wsusutil.exe工具完成。存在于C:\ProgramFiles\UpdateServices\Tools中因此一个完整的WSUS导入导出应包括三步：一更新文件的导入导出二确保源服务器和目标服务器的快速安装文件特性和语言设置完全匹配三元文件的导入导出具体实现如下更新文件存储在E:\WSUS\WsusContent，将其拷贝出来即可。如果提示有的文件正在使用，停止UpdateServices服务即可复制WSUS源服务器和目标服务器必须确保它们在同步选项中的快速安装文件特性和语言设置完全一致，这样才能进行WSUS元文件的导入导出。如果快速安装文件特性和语言设置不一样，那么会导致源服务器和目标服务器元数据库结构不同，进而无法实现元文件的导入导出。即要保证将要导入的WSUS服务器中选择-同步选项-更新文件和语言中的设置要与即将导出的WSUS服务器选择一致，如图元文件的导入导出借助wsusutil.exe，如图所示：输入wsusutilexporte:\wsus.cabe:\wsus.log；export表示要进行导出操作，e:\wsus.cab是导出的数据文件，e:\wsus.log是导出的日志文件。完成后，在指定的e盘目录下出现了导出的文件wsus.cab和wsus.log，将复制文件wsus.cab和wsus.log放到E盘目录下，复制WsusContent文件夹到目标WSUS服务器中，然后输入wsusutilimporte:\wsus.cabe:\wsus.log即可实现导入；如图：导入的时间较长。随后，导入的WSUS服务器就可以为客户端分发系统补丁了。