10.第十部分：在 Windows Server 2003 中使用 RRAS 来配置拨号远程访问服务器

配置拨号远程访问服务器的逐步式指南

本逐步式指南提供了配置路由和远程访问服务(RRAS) 结构以支持拨入远程访问连接的指导。

本页内容

简介

概述

配置拨号远程访问服务器

通过策略保护远程访问拨入

其他资源

简介

逐步式指南

Windows Server 2003 部署逐步式指南提供了很多常见操作系统配置的实际操作经验。本指南首先介绍通过以下过程来建立通用网络结构：安装Windows Server 2003；配置Active Directory®；安装Windows XP Professional 工作站并最后将此工作站添加到域中。后续逐步式指南假定您已建立了此通用网络结构。如果您不想遵循此通用网络结构，则需要在使用这些指南时进行适当的修改。

通用网络结构要求完成以下指南。

•第一部分：将Windows Server 2003 安装为域控制器

•第二部分：安装Windows XP Professional 工作站并将其连接到域上

在配置通用网络结构后，可以使用任何其他的逐步式指南。注意，某些逐步式指南除具备通用网络结构要求外，可能还需要满足额外的先决条件。任何额外的要求都将列在特定的逐步式指南中。

Microsoft Virtual PC

可以在物理实验室环境中或通过虚拟化技术（如Microsoft Virtual PC 2004 或Microsoft Virtual Server 2005）来实施Windows Server 2003 部署逐步式指南。借助于虚拟机技术，客户可以同时在一台物理服务器上运行多个操作系统。Virtual PC 2004 和Virtual Server 2005 就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高工作效率而设计的。

Windows Server 2003 部署逐步式指南假定所有配置都是在物理实验室环境中完成的，但大多数配置不经修改就可以应用于虚拟环境。

将这些逐步式指南中提供的概念应用于虚拟环境超出了本文的讨论范围。

重要说明

此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构，决不意指，也不应由此臆测任何公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。

此通用基础结构是为在专用网络上使用而设计的。此通用结构中使用的虚拟公司名称和域名系统(DNS) 名称并未注册以便在Internet 上使用。您不应在公共网络或Internet 上使用此名称。

此通用结构的Active Directory 服务结构用于说明“Windows Server 2003 更改和配置管理”如何与Active Directory 配合使用。不能将其作为任何组织进行Active Directory 配置的模型。

返回页首

概述

为支持远程访问公司网络的用户，您可以部署拨号网络、虚拟专用网络(VPN) 或者同时部署这两种网络。用户可使用电话线并通过拨号网络直接拨入网络上的远程访问服务器。连接到Internet 上的远程用户可通过VPN 建立与网络上VPN 服务器之间的连接。建立站点到站点虚拟专用网络连接的逐步式指南还提供了有关部署VPN 的其他指导。该指南讨论了配置拨号远程访问解决方案所需的步骤。

在确定最适用于组织的解决方案时，请考虑每种解决方案的相对成本效率以及它们能在多大程度上满足组织对安全性和可用性方面的要求。还应考虑支持您的远程访问服务器设计所需要的Intranet 网络结构。如果支持结构设计不当，远程访问客户端就无法获取IP 地址和解析Intranet 名称，并且无法在远程访问客户端和Intranet 资源之间传送数据包。

提供安全可靠且符合您组织需要的远程访问解决方案的关键在于，在确定是部署拨号网络、VPN 还是同时部署这两种网络后仔细规划和测试您的远程连接设计。VP N 远程访问服务器部署涉及的任务与拨号远程访问服务器部署不同；但是，您的远程访问解决方案通常包括这二者的设计要素。图 1 显示拨号远程访问解决方案的基本体系结构。Microsoft 证书服务和Internet 验证服务(IAS) 是拨号或VPN 结构中的可选组件，它们提供扩展的身份验证方法以及集中的策略管理。本逐步式指南不包含这些可选组件。

图 1. 典型远程访问结构

使用拨号网络进行远程访问

在拨号网络解决方案中，远程用户拨入网络上的远程访问服务器。在本质上，拨号线路比使用公共网络（比如Internet）的解决方案具有更强的保密性。然而，在部署拨号网络时，企业不仅要在初期投入大量的资金，而且还要在解决方案生命周期内继续支出一些费用。这些费用包括：

•硬件采购和安装拨号网络要求在初期投入资金购买调制解调器或其他通讯硬件、服务器硬件以及安装电话线。

•每月电话费用远程访问所使用的每条电话线都会增加拨号网络的成本。如果您使用免费电话号码或回叫功能来承担用户的长途通话费，则这些费用可能是非常高的。大多数公司可以使用大宗长途通话费率，这比按较

昂贵的家用电话费率分别支付用户的费用要便宜得多。

•持续支持远程访问用户的数量和远程访问设计的复杂程度可以大大影响拨号网络的持续支持成本。支持成本包括为支持和管理部署而设置的网络支持工程师、测试设备、培训和服务台人员。这些成本是组织的最大一

部分投资。

先决条件

•第一部分：将Windows Server 2003 安装为域控制器

•安装其他域控制器的逐步式指南

•Active Directory 管理逐步式指南

•建立站点到站点虚拟专用网络连接的逐步式指南

指南要求

•为成功地测试拨号远程访问服务器，您必须在远程访问服务器和客户端上安装调制解调器，而且必须有一根可供使用的电话线。

•如果不能使用物理调制解调器来测试远程访问服务器，您可以按照本指南中的步骤强制安装一个标准调制解调器。

要安装本逐步式指南中使用的通用调制解调器，请按照以下步骤操作：

1. 在“HQ-CON-DC-01”上，单击“开始”按钮，单击“控制面板”，然后单击“添加硬件”。

2. 单击“下一步”，单击“是，硬件已连接好”，然后单击“下一步”。

3. 在“已安装的硬件”下面，滚动到列表的底部，单击“添加新的硬件设备”，然后单击“下一步”。

4. 单击“安装我手动从列表选择的硬件”，然后单击“下一步”。

5. 单击“调制解调器”，然后单击“下一步”。

6. 选择“不要检测我的调制解调器；我将从列表中选择”复选框，然后单击“下一步”。

7. 在“型号”结果窗格中，双击“标准56000bps 调制解调器”。

8. 单击“全部端口”，然后单击“下一步”。