如何为 Intranet 设置路由和远程访问

本文介绍如何为 Intranet 设置路由和远程访问。

适用于: Windows Server 2012 R2
原始 KB 编号: 323415

摘要

本分步指南介绍如何在 Windows Server 2003 Standard Edition 或 Windows Server 2003 Enterprise Edition 上设置路由和远程访问服务,以允许经过身份验证的用户通过 Internet 远程连接到另一个网络。 此安全连接提供对所有内部网络资源的访问,例如消息传送、文件和打印共享以及 Web 服务器访问。 此连接的远程字符对用户是透明的,因此使用远程访问的总体体验类似于在本地网络上的工作站上工作的体验。

安装路由和远程访问服务

默认情况下,路由和远程访问服务在 Windows Server 2003 安装过程中自动安装,但已禁用。

启用路由和远程访问服务

  1. 单击“开始”,指向“管理工具”,然后单击“ 路由和远程访问”。

  2. 在控制台的左窗格中,单击与本地服务器名称匹配的服务器。

    如果图标右下角有红色箭头,则不会启用路由和远程访问服务。 转到步骤 3。

    对于指向右下角的绿色箭头,服务已启用。 如果是这样,可能需要重新配置服务器。 若要重新配置服务器,必须先禁用路由和远程访问。 可以右键单击服务器,然后单击“ 禁用路由和远程访问”。 当系统提示信息性消息时,单击“是”。

  3. 右键单击服务器,然后单击 “配置”和“启用路由和远程访问” ,启动“路由和远程访问服务器安装向导”。 单击"下一步"。

  4. 单击“ 远程访问 (拨号或 VPN) 以允许远程计算机通过 Internet 拨入或连接到此网络。 单击"下一步"。

  5. 单击“VPN”进行虚拟专用访问,或单击“拨号”进行拨号访问,具体取决于要分配给此服务器的角色。

  6. 在“VPN 连接”页上,单击连接到 Internet 的网络接口,然后单击“下一步”。

  7. 在“IP 地址分配”页上,执行以下操作之一:

    • 如果使用 DHCP 服务器将地址分配给远程客户端,请单击“自动”,然后单击“下一步”。 转到步骤 8。
    • 若要仅从预定义池中为远程客户端提供地址,请单击“ 从指定地址范围”。

    注意

    在大多数情况下,DHCP 选项更易于管理。 但是,如果 DHCP 不可用,则必须指定静态地址范围。 单击“下一步”。

    向导将打开“地址范围分配”页。

    1. 单击"新建"。
    2. “开始 IP 地址 ”框中,键入要使用的地址范围中的第一个 IP 地址。
    3. 在“ 结束 IP 地址 ”框中,键入范围中的最后一个 IP 地址。

    Windows 会自动计算地址数。 4.单击“确定”返回到“地址范围分配”页。 5.单击“下一步”。

  8. 接受默认设置“ 否”,使用路由和远程访问对连接请求进行身份验证,然后单击“下一步”。

  9. 单击“完成”以启用路由和远程访问服务并配置远程访问服务器。
    将服务器设置为接收拨号连接后,请在客户端工作站上设置远程访问客户端连接。

设置用于拨号访问的客户端

若要设置客户端进行拨号访问,请在客户端工作站上执行以下步骤。

注意

由于 Microsoft Windows 存在多个版本,因此你计算机上的以下步骤可能会有所不同。 如果是这样,请参见您的产品文档来完成这些步骤。

  1. 单击“开始”,单击“控制面板”,然后双击“网络Connections”。
  2. 在“网络任务”下,单击“ 创建新连接”,然后单击“下一步”。
  3. 单击“ 连接到工作区中的网络 ”以创建拨号连接,然后单击“下一步”。
  4. 单击“ 拨号连接”,然后单击“下一步”。
  5. 在“ 连接名称” 页上,键入此连接的描述性名称,然后单击“下一步”。
  6. 在“ 要拨打的电话号码 ”页上,在“电话号码”对话框中键入远程访问服务器的电话号码。
  7. 执行下列操作之一,然后单击“下一步”:
    • 如果要允许登录到工作站的任何用户访问此拨号连接,请单击“ 任何人使用”。
    • 如果希望此连接仅对当前登录的用户可用,请单击“ 仅限我使用”。
  8. 单击“完成”以保存连接。

设置用于 VPN 访问的客户端

若要为虚拟专用网络 (VPN) 访问设置客户端,请在客户端工作站上执行以下步骤。

注意

由于 Microsoft Windows 存在多个版本,因此你计算机上的以下步骤可能会有所不同。 如果是这样,请参见您的产品文档来完成这些步骤。

  1. 单击“开始”,单击“控制面板”,然后双击“网络Connections”。

  2. 在“网络任务”下,单击“ 创建新连接”,然后单击“下一步”。

  3. 单击“ 连接到工作区中的网络 ”以创建拨号连接,然后单击“下一步”。

  4. 单击“ 虚拟专用网络连接”,然后单击“下一步”。

  5. 在“连接名称”页上,键入此连接的描述性名称,然后单击“下一步”。

  6. 执行下列操作之一,然后单击“下一步”。

    • 如果计算机已永久连接到 Internet,请单击“ 不拨打初始连接”。
    • 如果计算机通过 Internet 服务提供商 (ISP) 连接到 Internet,请单击“ 自动拨号此初始连接”。 然后单击与 ISP 的连接的名称。
  7. 键入 VPN 服务器计算机的 IP 地址或主机名 (例如,VPNServer.SampleDomain.com) 。

  8. 执行下列操作之一,然后单击“下一步”:

    • 如果要允许登录到工作站的任何用户访问此拨号连接,请单击“ 任何人使用”。
    • 如果希望此连接仅对当前登录的用户可用,请单击“ 仅限我使用”。
  9. 单击“完成”以保存连接。

授予用户访问远程访问服务器的权限

可以使用远程访问策略根据以下条件授予或拒绝授权:一天中的时间、星期几、基于 Windows Server 2003 的安全组中的用户成员身份或请求的连接类型。 如果远程访问服务器是域的成员,则可以使用用户的域帐户配置这些设置。

如果服务器是独立服务器或工作组的成员,则用户必须在远程访问服务器上具有本地帐户。

向单个用户帐户授予远程访问权限

如果基于用户帐户管理远程访问,请按照以下步骤授予远程访问权限:

  1. 单击“开始”,指向“所有程序”,指向“管理工具”,然后单击“Active Directory 用户和计算机”。
  2. 右键单击要向其授予远程访问权限的用户帐户,单击“属性”,然后单击“ 拨入 ”选项卡。
  3. 单击“ 允许访问 ”授予用户拨入权限,然后单击“确定”。

基于组成员身份配置远程访问权限

如果基于组管理远程访问,请按照以下步骤授予远程访问权限:

  1. 创建包含允许创建 VPN 连接的成员的组。
  2. 单击“开始”,指向“管理工具”,然后单击“ 路由和远程访问”。
  3. 在控制台树中,展开 “路由和远程访问”,展开服务器名称,然后单击“远程访问策略”。
  4. 右键单击右窗格,指向“新建”,然后单击“远程访问策略”。
  5. 单击“下一步”,键入策略名称,然后单击“下一步”。
  6. 单击“VPN”进行虚拟专用访问,或单击“拨号”进行拨号访问,然后单击“下一步”。
  7. 单击“添加”,键入在步骤 1 中创建的组的名称,然后单击“下一步”。
  8. 按照屏幕上的说明完成向导。

如果 VPN 服务器已允许拨号网络远程访问服务,请不要删除默认策略;而是移动它,以便它是要评估的最后一个策略。

建立远程连接

由于 Microsoft Windows 存在多个版本,因此你计算机上的以下步骤可能会有所不同。 如果是这样,请参见您的产品文档来完成这些步骤。

  1. 在客户端工作站上,依次单击“启动”、“网络Connections”,然后单击你创建的新连接。

  2. 在“用户名”框中,键入用户名。

    如果要连接到的网络有多个域,可能需要指定域名。 在“用户名”框中使用domain_name \ 用户名格式。

  3. 在“密码”框中,键入密码。

  4. 如果使用拨号连接,检查“拨号”框中列出的电话号码,以确保正确。 确保已指定必须获取外部线路或长途拨号所需的任何其他号码。

  5. 对于) VPN 连接,请单击“拨号”或“连接 (”。

    计算机与远程访问服务器建立连接。 服务器对用户进行身份验证,并在网络上注册计算机。

疑难解答

本部分介绍如何排查尝试设置远程访问时可能会遇到的一些问题。

并非所有用户的拨入配置设置都可用

如果基于 Windows Server 2003 的域使用的是混合模式,并非所有配置选项都可用。 管理员只能授予或拒绝对用户的访问权限,并指定回调选项,这是 Microsoft Windows NT 4.0 中可用的访问权限设置。 将域切换到本机模式后,剩余选项将变为可用。

用户可以联系服务器,但无法进行身份验证

确保用户帐户已被授予使用 Active Directory 进行远程连接和身份验证的权限,如第 2 节中所述。 远程访问服务器还必须是“RAS 和 IAS 服务器”组的成员。

有关其他信息,请单击以下文章编号以查看 Microsoft 知识库中的文章:

323381 如何在 Windows Server 2003 中允许远程用户访问你的网络