win2003系统安全设置_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
评价文档：
win2003系统安全设置
w​i​n​d​o​w​s03​ ​ ​ ​安​全​ ​ ​ ​设​置
阅读已结束，如果下载本文需要使用
想免费下载本文？
你可能喜欢虚拟专用网络和Windows　Server　2003:部署站点到站点VPN--admin　blog
载入中。。。
虚拟专用网络和Windows&Server&2003:部署站点到站点VPN
作者:swan 日期: 14:38:07
虚拟专用网（VPN）是专用网络的扩展，它跨越共享或公共网络（例如 Internet）建立链接。通过VPN，您可以跨越一个共享或公共网络，以模拟点到点专用链接（例如基于电信运营商的长距离广域网[WAN]链接）的方式在两台计算机间传输数据。创建和配置一个虚拟专用网络的具体行动被称为虚拟专用网链接。
为了模拟点到点链接，需要使用一个带有路由信息的数据报头对数据进行封装，以便允许数据通过共享或公共网络到达其目的地。为了模拟一条专用链接，出于安全性考虑，数据将进行加密。如果没有密钥，即使在共享或公共网络截取到数据包也无法对其进行解读。对专有数据进行封装和加密的逻辑链接便是一个 VPN 链接。
图1展示了 VPN 连接的逻辑示意。
图1：VPN 连接的逻辑示意图
现在，在家中或旅途中工作的用户可以通过公共网络（例如 Internet）所提供的基础构架，使用 VPN 连接与企业服务器建立远程访问连接。从用户的角度来看，VPN 连接是一个计算机（VPN 客户端）和企业服务器（VPN 服务器）之间的点到点连接。对他们来说，并不关注共享或公共网络的确切基础构架，因为数据似乎是通过一个专门的专用链接来进行传输的。
企业也可以使用 VPN 连接来建立跨越公共网络（例如 Internet）的站点到站点连接，将位置分散的办公室或其他公司连接在一起，并同时保证安全的通讯。从逻辑上来看，站点到站点 VPN 连接将作为一个专门的 WAN 链接进行运作。
通过远程访问和站点到站点连接，企业就可以使用 VPN 连接与 Internet 服务提供商（ISP）进行交易，将远程拨号或租用线路转换为本地拨号或租用线路。
在 Windows Server 2003 操作系统中，有两种类型的基于 PPP 的站点到站点 VPN 技术：
点到点隧道协议（PPTP）
PPTP 利用用户级别的点到点协议（PPP）身份验证方式和 Microsoft 点到点加密（MPPE）进行数据加密。
具有 Internet 协议安全（IPSec）的第二层隧道协议（L2TP）
具有 IPSec 的 L2TP (L2TP/IPSec) 利用用户级别的 PPP 身份验证方式和 IPSec 来实现使用证书的计算机身份验证，并确保数据的身份验证、完整性和加密。
注意: 在采用 IPSec 隧道模式实现站点到站点 VPN 连接时，可以使用运行 Windows Server 2003 的计算机。由于 IPSec 隧道并不是数据包转发和接收的逻辑接口，因此无法在 IPSec 隧道上运行路由协议。用于站点到站点 VPN 连接的 IPSec 隧道配置有着很大的差别，我们将不在本文中进行讨论。详细信息，请参阅中的－"
对于加密，您可以选择链接加密，或者在链接加密以外再进行端到端加密：
链接加密只针对路由器之间链接上的数据。对于PPTP连接而言，您在使用 MPPE 时必须结合 MS-CHAP、MS-CHAP v2 或 EAP-TLS 身份验证。而对于L2TP/IPSec 连接，则由 IPSec 为路由器之间的链接提供加密。
端到端加密对数据源主机和最终目的地之间的数据进行加密。在建立了站点到站点的 VPN 连接后，您可以使用IPSec来对从数据源主机发送到目标主机的数据进行加密。
Windows Server 2003 中的请求拨号路由 (Demand-Dial Routing)：概述
Windows Server 2003 路由和远程（Routing and Remote Access）服务支持通过拨号连接（例如模拟电话线路或 ISDN）、VPN 连接和 PPP over Ethernet (PPPoE) 连接的请求拨号路由（也称为“按需拨号路由”）。请求拨号路由是跨越点到点协议（PPP）链接的数据包转发。在Windows Server 2003 路由和远程访问服务中，这种 PPP 链接将作为请求拨号的接口，用来创建跨越拨号、非永久或永久媒介的请求连接。请求拨号连接允许您在低流量情况下使用拨号电话线路，而不是采用租用线路；并利用 Internet 的连通性，通过 VPN 连接将各分公司连接在一起。
请求拨号路由与远程访问不同。远程访问将一台单独的计算机连接到网络中；而请求拨号则连接整个网络。但是，它们都使用 PPP 作为基本协议，通过这个协议进行连接的协商和身份验证，并对其中发送的数据进行封装。在 Windows Server 2003 路由和远程访问服务中，可以单独启用远程访问和请求拨号。但是，它们仍然共享下列内容：
用户帐户的拨号属性行为。
安全性（身份验证协议和加密）。
使用远程访问策略。
使用Windows 或远程身份验证拨号用户服务（Remote Authentication Dial-In User Service，RADIUS）――用于身份验证，授权和记帐。
IP地址分配和配置。
使用PPP 特性，例如微软点到点压缩（Microsoft Point-to-Point Compression，MPPC）、多链接PPP和带宽分配协议（Bandwidth Allocation Protocol，BAP）。
故障诊断工具，包括事件日志、Windows或RADIUS身份验证和记帐日志，以及跟踪。
虽然请求拨号路由的概念十分简单，但其配置却要相对复杂的多。配置的这种复杂性源于下面几个因素：
连接端点寻址。连接必须通过公共数据网络，例如模拟电话系统或 Internet。连接的端点必须通过拨号连接的电话号码或 VPN 连接的完全合格主机名称或 IP 地址来进行识别。
呼叫者的身份验证和授权。 所有呼叫路由器的用户都必须经过身份验证和授权。身份验证是基于呼叫者的证书集的，在连接建立过程中呼叫者将提交证书。这些证书必须是对应于一个帐户的。授权则根据帐户和远程访问策略的拨号属性进行分配。
远程访问客户端和呼叫路由器之间的差异。 路由和远程访问服务共同存在于运行 Windows Server 2003 的计算机中。而远程访问客户端和请求拨号路由器又都可以初始化一个连接。因此，运行 Windows Server 2003 的计算机在对连接尝试做出响应时，必须能够区分远程访问客户端和请求拨号路由器。
在初始化这个连接的路由器（呼叫路由器）所发送的身份验证证书中包含有一个用户名；同时，响应这个连接尝试的 Windows Server 2003（响应路由器）的请求拨号接口也拥有一个名称。如果这两个名称相一致，那么这个连接就是请求拨号连接。否则，这个传入的连接就是远程访问连接。
连接两端的配置。 连接的两端都必须进行配置，即使只由连接的其中一端初始化请求拨号连接。如果仅配置连接的其中一端，那么数据包只能朝一个方向进行成功的路由。而通讯通常要求双方向的信息传递。
静态路由的配置。 在临时的请求拨号连接上，您不应该使用动态路由协议。因此，必须在请求拨号路由器的路由表中添加可以跨越请求拨号接口的网络 ID 路由，例如静态路由。您可以手动地添加静态路由，也可以使用自动静态更新进行添加。
请求拨号路由更新
当通过请求拨号路由来节约连接成本时，典型的路由协议总依赖于周期性公布过程与路由信息进行通讯。例如，RIP-for-IP 每隔 30 秒钟公布一次其所有接口上的路由表的内容。此操作对永久性连接的 LAN 或 WAN 线路不成问题。对于敏感用途的拨号 WAN 线路，此周期性的操作类型可能导致路由器每隔 30 秒钟就呼叫其他路由器，这会导致预料之外的电话费用。因此，不应该运行通过临时拨号 WAN 线路的路由协议。
如果不使用路由协议更新路由表，那么必须输入路由作为静态路由。手动或自动输入与通过接口可获得的网络ID对应的静态路由。请求拨号接口静态路由的自动输入称为自动静态更新，运行“路由和远程访问”的服务器支持该功能。RIP-for-IP 支持自动静态更新，但 OSPF 不支持。
在执行过程中，对自动静态更新配置的请求拨号接口将通过活动连接发送请求，以获取连接的另外一端路由器中的所有路由。在响应请求时，将请求的路由器的所有路由自动输入为请求路由器路由表中的静态路由。静态路由也是永久的；它们将保留在路由表中，即使接口断开或重新启动路由器。自动静态更新是路由信息的一次性单向交换。
您可以将更新作为计划任务执行，这样就可以自动化并计划执行自动静态更新。详细信息，请参阅Windows Server 2000帮助和支持中的“计划自动静态更新”。
注意: 自动静态中的“自动”是指将请求路由自动添加为路由表中的静态路由。通过明确的操作执行发送路由请求：当请求拨号接口处于连接状态时，通过“路由和远程访问”或 Netsh 实用程序。每次进行请求拨号连接时，不会自动执行自动静态更新。
站点到站点 VPN 连接的简介
站点到站点 VPN 连接是一种请求拨号连接，它使用VPN隧道协议（例如PPTP或L2TP/IPSec）来连接专用网络的两个部分。每个VPN路由器都提供一个与VPN路由器所属网络的路由连接。在站点到站点VPN连接中，任何一个路由器通过VPN连接发送的数据包通常都不在路由器上初始化。
呼叫路由器（VPN 客户端）初始化这个连接。应答路由器（VPN 服务器）侦听连接请求，接收来自呼叫路由器的连接请求，并根据请求建立连接。呼叫路由器向应答路由器证明自己的身份。在使用共有身份验证协议（例如 MS-CHAP v2 或 EAP-TLS）时，应答路由器也向呼叫路由器证明自己身份。
表1列出了与站点到站点 VPN 兼容的 Microsoft 操作系统。
表1 与站点到站点 VPN 兼容的 Microsoft 操作系统
Windows Server 2003, Windows 2000 Server, 具有路由和远程访问服务（RRAS）的Windows NT version 4.0
L2TP/IPSec
Windows Server 2003, Windows 2000 Server
VPN 路由器可以是任何计算机，只要它能够创建使用MPPE的路由PPTP连接，或创建使用IPSec加密的路由L2TP连接。
请求连接与永久连接
站点到站点 VPN 连接可以是请求连接，也可以是永久连接：
请求的站点到站点连接是在流量必须通过该连接转发时所建立的连接。首先建立连接，接着转发流量，然后在所配置的空闲时间过后中断这个连接。您可以为应答路由器配置空闲断开行为：在用于这个站点到站点VPN的远程访问协议的配置文件属性拨号限制选项卡中进行设置。 您也可以为呼叫路由器配置空闲断开行为：在路由和远程访问嵌入式管理单元中的请求拨号接口属性的选项选项卡中设置。
永久的站点到站点连接总处于连接状态。如果这个连接出现了故障，会立即重试。要为应答路由器配置永久连接，请在用于站点到站点连接的远程访问策略的配置文件属性中，清除拨号限制选项卡中的 在连接前可保持空闲的分钟数和客户端可以被连接的分钟数复选框（这些设置是默认禁用的）。要为呼叫路由器配置永久连接，请在请求拨号接口属性的选项选项卡中选中永久连接。
如果呼叫路由器使用拨号链接（例如模拟电话线路或ISDN）连接到Internet，那么您需要配置一个拨号请求的站点到站点VPN连接，由应答路由器中的一个请求拨号接口和呼叫路由器中的两个请求拨号接口组成：一个用于连接到本地Internet服务提供商（ISP），另一个用于这个站点到站点VPN连接。拨号请求的站点到站点VPN连接还需要呼叫路由器IP路由表中的一个额外的主机路由。详细信息，请参阅Windows Server 2003帮助和支持中的“拨号路由器到路由器VPN连接”。
不论是请求的或永久的站点到站点VPN连接，应答路由器总是一直连接到Internet的。
限制请求拨号连接的初始化
为了避免呼叫路由器建立不需要的连接，您可以按照下列的几种方式来限制呼叫路由器建立请求的站点到站点VPN连接：
请求拨号筛选。 您可以使用请求拨号筛选来决定哪种类型的IP流量不能导致请求拨号连接的建立，也可以配置哪种类型的IP流量可以导致建立连接。配置请求拨号筛选的方法是：在路由和远程访问嵌入式管理单元的网络接口节点的请求拨号接口上点击右键，然后点击设置IP请求拨号筛选器。
拨出时间。 您可以使用拨出时间来配置允许或禁止呼叫路由器建立站点到站点VPN连接的时间段。配置拨出时间的方法是：在路由和远程访问嵌入式管理单元的网络接口节点的请求拨号接口上点击右键，然后点击拨出时间。
您可以使用远程访问策略来配置允许传入请求拨号路由连接的时间。
单向和双向初始化的连接
在使用单向初始化的连接时，一台VPN路由器总是呼叫路由器，而另一台VPN路由器总是应答路由器。单向初始连接很适合分散和集中拓扑，在这种结构中，分公司的路由器是唯一初始化连接的路由器。单向初始化的连接需要满足下列条件：
应答路由器被配置为LAN和请求拨号路由器。
为应答路由器访问和验证的呼叫路由器的身份验证凭据添加用户帐户
在应答路由器上配置了请求拨号接口，并且其名称与呼叫路由器所使用的用户帐户名称相同。这个请求拨号接口不是用于拨号的，因此它并没有配置呼叫路由器的主机名或IP地址，也没有配置有效的用户证书。
在使用双向初始化的连接时，每个VPN路由器既可以是呼叫路由器，也可以是应答路由器，这取决于哪个路由器初始化的这个连接。两个VPN路由器都必须配置为初始化和接受站点到站点VPN连接。当站点到站点VPN连接不是24小时都处于活动状态时，您可以使用双向初始化的连接，每个路由器的流量都可以用来创建请求连接。双向初始化的站点到站点VPN连接需要满足下列条件：
两个路由器都通过永久的WAN链接连接到Internet。
两个路由器都被配置为LAN和请求拨号路由器。
在两个路由器中都添加了用户帐户，这样应答路由器可以访问和检验呼叫路由器的身份验证证书。
必须在两个路由器上都完全配置请求拨号接口，并使用与呼叫路由器所使用的用户帐户相同的名称，还包括配置应答路由器的主机名称或IP地址以及用户帐户证书。
表2给出了在路由器1（在西雅图站点中的请求拨号路由器）和路由器2（在纽约站点中的请求拨号路由器）之间建立双向初始化的请求拨号路由的正确配置示例。
表2 双向初始化的请求拨号路由的正确示例配置
DD_NewYork
DD_Seattle
DD_Seattle
DD_NewYork
请留意在一个路由器的请求拨号接口证书中的用户帐户名称是如何与另一个路由器的请求拨号接口名称相匹配的。
Windows Server 2003站点到站点VPN的组件
图2给出了Windows Server 2003站点到站点虚拟专用网络的组件。
图2：Windows Server 2003站点到站点VPN的组件
主要组件包括：
Internet基础构架
内部网络基础构架
身份验证，授权和记帐（AAA）基础构架
证书基础构架
VPN路由器可以初始化或接受VPN请求拨号连接，由下列组件组成：
路由和远程访问服务。 呼叫和应答路由器上的路由和远程访问服务都通过路由和远程访问服务器安装向导来进行配置。
端口。 端口是能够支持单个PPP连接的逻辑或物理通道。物理端口基于安装在VPN路由器上的设备。虚拟专用网络（VPN）端口是逻辑端口。
请求拨号接口。 配置在呼叫路由器上的请求拨号接口代表了PPP连接，并包含有使用的端口类型、用于创建连接的地址（IP地址或域名）、身份验证方式、加密要求以及身份验证证书等配置信息。
对于双向初始化的连接而言，配置在应答路由器上的请求拨号接口代表了连向呼叫路由器的PPP连接。而对于单向初始化的连接而言，它使用呼叫路由器用户帐户上的静态路由，不需要在应答路由器上配置请求拨号接口。
用户帐户。 为了对呼叫路由器进行身份验证，呼叫路由器的证书必须通过相应用户帐户的属性进行检验。如果将应答路由器配置为Windows身份验证，那么呼叫路由器身份验证证书中的用户帐户必须可以使用Windows安全性进行检验。如果应答路由器配置为RADIUS身份验证，那么RADIUS必须能够访问呼叫路由器身份验证证书的用户帐户。
这个用户帐户必须具有下列设置：
在拨号选项卡中，将远程访问权限配置为允许访问或通过远程访问策略控制访问。当您使用请求拨号接口向导创建用户帐户时，这个远程访问权限将被设置为允许访问。
在常规或帐户选项卡中，禁用用户必须在下次登录时更改密码，并启用密码从不过期。您可以在使用请求拨号接口向导创建用户帐户时配置这些设置。
对于单向初始化的连接而言，您可以在拨号选项卡中配置静态IP路由，该IP路由将在请求拨号连接建立时被添加到应答路由器的路由表中。
路由。 要通过站点到站点VPN连接转发流量，VPN路由器路由表中的IP路由必须被配置为使用正确的请求拨号接口。
对于单向初始化的连接，请按常规方法配置呼叫路由器。而对于应答路由器，您可以配置呼叫路由器身份验证证书中所指定的用户帐户以及静态IP路由。
远程访问策略。 在应答路由器或Internet身份验证服务（IAS）服务器（作为应答路由器的RADIUS服务器）上，要指定用于请求拨号连接的连接参数，请创建一个包括所有呼叫路由器用户帐户的用户组，然后创建一个单独的远程访问策略，在这个组上使用Windows-Groups属性集。对于请求拨号连接，不需要创建单独的远程访问策略。
呼叫路由器完成下列工作：
根据管理员行为，或在被转发的数据包符合使用VPN请求拨号接口的路由时，初始化VPN连接。
在转发数据包之前等待身份验证和授权。
作为其站点中的节点和应答路由器之间的路由器转发数据包。
作为VPN连接的端点。
应答路由器完成下列工作：
侦听VPN连接尝试。
在允许数据转发之前，对VPN连接进行身份验证和授权。
作为其站点中的节点和呼叫路由器之间的路由器转发数据包。
作为VPN连接的端点。
VPN路由器通常安装有两个网络适配器：其中一个网络适配器连接到Internet，而另一个网络适配器连接到内部网络。
在您配置和启用路由和远程访问服务时，路由和远程访问服务器安装向导将提示您选择该计算机所扮演的角色。对于VPN路由器，您应该选择远程访问（拨号或VPN）选项。在选择了远程访问（拨号或VPN）选项后，路由和远程访问服务器将作为VPN服务器运行，同时支持远程访问和站点到站点的VPN连接。为了实现远程访问VPN连接，用户可以运行VPN客户端软件，并初始化一个连接到VPN服务器的远程访问连接。为了实现站点到站点VPN连接，路由器将初始化一个连接到VPN服务器的VPN连接。然后，VPN服务器可以初始化一个连接到另一个VPN路由器的VPN连接。
注意: Microsoft推荐在路由和远程访问服务器安装向导中选择远程访问（拨号或VPN），而不是两个专用网络间的安全连接，这是因为两个专用网络间的安全连接选项不会提示您选择用于自动配置数据包筛选器的Internet接口，也不会提示您配置RADIUS服务器，它只会创建5个PPTP和5个L2TP端口。
当您在路由和远程访问服务器安装向导中选择远程访问（拨号或VPN）时：
首先它会提示您指定是否需要VPN、拨号或同时需要两种访问类型。
然后，提示您选择连接到Internet的接口。您所选择的接口将自动地配置有数据包筛选器，只允许PPTP或L2TP相关的流量（除非您清除通过设置静态数据包筛选器，启用所选接口的安全性复选框）。所有其他流量都被无声地禁止了。例如，您将无法再ping到VPN服务器的Internet接口。如果您希望将这个VPN服务器计算机作为网络地址转换器（NAT）、Web服务器或其他功能，请参阅附录B。
接着，如果您拥有多个连接到内部网络的网络适配器，那么将提示您选择通过哪个接口获得DHCP、DNS和WINS配置。
然后，提示您确定您是否希望使用DHCP获得IP地址，或通过指定的地址范围为远程访问客户端进行IP分配。如果您选择指定的地址范围，那么将提示您添加一个或多个地址范围。
然后，提示您指定是否希望使用RADIUS作为您的身份验证提供者。如果您选择了RADIUS，那么将提示您配置主要和预备RADIUS服务器以及共享的密钥。
当您在路由和远程访问服务器安装向导中选择远程访问（拨号或VPN）时，其结果将是：
启用路由和远程访问服务器，同时作为远程访问服务器以及LAN和请求拨号路由器，并采用Windows作为身份验证和记帐提供者（除非选择和配置了RADIUS）。如果只有一个网络适配器连接到内部网络，那么这个网络适配器将自动地被选为IP接口，从这个接口处获取DHCP、DNS和WINS配置。否则，将选择向导中指定的网络适配器来获得DHCP、DNS和WINS配置。在指定情况下，将配置静态IP地址范围。
创建128个PPTP和128个L2TP端口。所有这些端口都可以用于入站远程访问连接和出站请求拨号连接。
选定的Internet接口将配置有入站和出站IP数据包筛选器，仅允许通过PPTP和L2TP/IPSec流量。
在内部接口中添加DHCP Relay Agent组件。如果在运行向导时，VPN服务器是一个DHCP客户端，那么DHCP Relay Agent 将被自动地配置为DHCP服务器的IP地址。否则，您必须手动地使用您内部网络中DHCP服务器的IP地址来配置DHCP Relay Agent的属性。DHCP Relay Agent将在VPN远程访问客户端和内部网DHCP服务器之间转发DHCPInform数据包。
添加IGMP组件。内部接口被配置为IGMP路由器模式。所有其他LAN 接口被配置为IGMP代理模式。这使得VPN远程访问客户端可以发送和接收IP多播流量。
在Windows Server 2003 Web Edition和Windows Server 2003 Standard Edition中，您可以创建最多1,000个点到点隧道协议（PPTP）端口，并能创建最多1,000 个第二层隧道协议（L2TP）端口。但是，Windows Server 2003 Web Edition在一次只能接受一个虚拟专用网络（VPN）连接。而Windows Server 2003 Standard Edition可以接受最多1,000个并发VPN连接。如果已经连接了1,000个VPN客户端，那么在连接数低于1,000之前，会禁止所有的其他连接尝试。
在VPN路由器上安装证书
如果VPN路由器建立了L2TP/IPSec连接或使用EAP-TLS身份验证，那么必须在VPN路由器计算机上安装证书。对于L2TP/IPSec连接，必须同时在呼叫和应答路由器计算机上安装计算机证书，从而为建立IPSec会话提供身份验证。对于EAP-TLS身份验证，必须在身份验证服务器（应答路由器或RADIUS服务器）上安装计算机证书，并且必须在呼叫路由器上安装用户证书。
更多有关在呼叫路由器、应答路由器以及身份验证服务器计算机上安装证书的信息，请参阅本文的证书基础构架部分。
设计点：配置VPN路由器
在运行路由和远程访问服务器安装向导之前，请考虑下列问题：
哪些VPN路由器的连接应该连接到Internet?
通常连接到Internet的VPN路由器至少拥有两个LAN连接：一个连接到Internet（直接连接或连接到周边网络），另一个连接到站点。为了使得路由和远程访问服务器安装向导能够轻松地分辨出这些LAN连接，请使用网络连接根据用途或角色对这些连接进行重命名。例如，将连接到Internet的连接（默认名为局域网连接 2）的名称更改为Internet。
VPN路由器可以是DHCP客户端吗？
VPN路由器必须为其Internet接口手动配置TCP/IP。虽然在技术上可能实现，但我们不建议将VPN路由器作为其内部网接口的DHCP客户端。介于VPN路由器的路由需求，手动配置IP地址、子网掩码、DNS服务器和WINS服务器，但是不要配置默认网关。
请注意，VPN路由器可以拥有手动TCP/IP配置，并仍用DHCP为远程访问VPN客户端和其他呼叫路由器获得IP地址。
如果将IP地址分配给远程访问VPN客户端和其他呼叫路由器？
VPN路由器可以被配置为从DHCP，或者从手动配置的地址范围中获得IP地址。使用DHCP来获得IP地址能够简化配置过程，但是您必须确信为呼叫路由器的站点连接所附属的子网所分配的DHCP范围具有足够多的地址，能够满足物理连接到子网的所有计算机以及最大数量的PPTP和L2TP端口。例如，如果这个VPN路由器站点连接所附属的子网拥有50个DHCP客户端，那么为了满足VPN路由器的默认配置，这个地址范围应该包含至少307个地址（50个计算机 + 128个PPTP客户端 + 128个L2TP客户端 + 1个用于VPN路由器的地址）。如果在这个范围中没有足够的IP地址，那么在所有的地址都被分配后，远程访问VPN客户端和连接的呼叫路由器将采用自动专用IP寻址（APIPA）段中的地址169.254.0.0/16。
如果您配置了一个静态地址池，请确保这个池拥有足够的地址能够分配给您的PPTP和L2TP端口，并需要为VPN路由器提供一个地址。如果在静态池中没有足够的地址，远程访问VPN客户端和Windows NT 4.0 RRAS呼叫路由器将无法进行连接。但是，Windows Server 2003呼叫路由器仍然可以进行连接。Windows Server 2003呼叫和应答路由器在建立连接的过程中，仍然需要请求对方的IP地址。但是，如果其中一个路由器没有分配到地址，两个路由器仍然将继续连接建立过程。点到点连接上的逻辑接口没有指定的IP地址。这也被称为无编号连接。虽然Windows Server 2003 VPN路由器支持无编号连接，但Windows Server 2003中所包含的路由协议无法在无编号连接上进行工作。
如果您正在配置一个静态地址池，可能还有一些其他的路由考虑事项。详细信息，请参阅本文的站点网络基础构架。
什么是身份验证和记帐提供者?
VPN路由器可将Windows或RADIUS作为其身份验证或记帐提供者。
当采用Windows作为身份验证和记帐提供者时，VPN路由器使用Windows安全性来检验呼叫路由器的证书，并访问呼叫路由器的用户帐户拨号属性。本地配置的远程访问策略对VPN连接进行授权，本地记录的帐户日志文件记录下VPN连接帐户信息。
当采用RADIUS作为身份验证和记帐提供者时，VPN路由器使用配置的RADIUS 服务器来检验呼叫路由器的证书，授权连接尝试，并存储VPN连接帐户信息。
您是否建立L2TP/IPSec连接?
如果是，您必须同时在呼叫路由器和应答路由器计算机上安装计算机证书。
您是否使用具有EAP-TLS的用户级证书身份验证？
如果是，您必须在呼叫路由器计算机上安装用户证书，必须在身份验证服务器（应答路由器计算机[如果应答路由器被配置为Windows身份验证提供者]或RADIUS服务器[如果应答路由器被配置为RADIUS身份验证提供者]）上安装计算机证书。如果身份验证服务器是Windows Server 2003 VPN路由器或Windows Server 2003 Internet 身份验证服务(IAS)服务器，那么只有在身份验证服务器是Active Directory服务域成员时，才能使用EAP-TLS。
对于请求连接，您是否需要避免在某个时间段内同时建立多个连接，或避免某些类型的流量同时建立多个连接？
如果是，请在呼叫路由器的请求拨号接口上配置拨出时间或请求拨号筛选器。
您是否希望使您的IP数据包筛选器与请求拨号筛选器相一致？
请求拨号筛选器将在连接建立之前加以应用。而IP数据包筛选器则在连接建立之后加以应用。为了避免为IP数据包筛选器所禁止的流量建立请求拨号连接，您需要：
如果您已经配置了许多具有传输所有除满足下列条件以外的数据包选项的外出IP数据包筛选器，那么请配置同样的请求拨号筛选器，并将初始化连接设置为针对所有流量，除了。
如果您已经配置了许多具有阻止所有除满足下列条件以外的数据包选项的外出IP数据包筛选器，那么请配置同样的请求拨号筛选器，并将初始化连接设置为仅针对下列流量。
在为站点到站点VPN连接更改VPN路由器的默认配置时，请考虑下列问题：
您是否希望支持远程访问VPN连接？
在默认情况下，所有的PPTP和L2TP都被配置为同时允许远程访问连接（仅限入站的）和请求拨号路由连接（入站的和出站的）。为了禁用远程访问连接，创建一个专门的站点到站点VPN连接服务器，请在路由和远程访问嵌入式管理单元的端口对象中，清除WAN小端口(PPTP)和WAN小端口(L2TP)设备属性中的远程访问连接（仅限入站的）复选框。或者，您也可以清除VPN服务器属性中常规选项卡的远程访问服务器复选框。
您是否需要安装计算机证书？
如果VPN路由器支持L2TP/IPSec连接，使用EAP-TLS身份验证协议来对连接进行身份验证，或配置为使用Windows身份验证提供者，那么您必须安装计算机证书。如果VPN路由器是使用EAP-TLS身份验证协议的呼叫路由器，那么您必须安装用户证书。详细信息，请参阅本文的“证书基础构架”部分。
您是否需要为VPN连接定制远程访问策略？
如果您为Windows身份验证或为RADIUS身份验证（同时RADIUS服务器是IAS服务器）配置了VPN路由器，那么默认的远程访问策略将拒绝所有类型的连接尝试，除非用户帐户拨号属性的远程访问权限被设置为允许访问。如果您希望通过组或连接类型来管理授权和连接参数，您必须配置其他的远程访问策略。详细信息，请参考本文的远程访问策略部分。
您是否需要独立的身份验证和记帐提供者？
路由和远程访问服务器安装向导将身份验证和记帐提供者配置为同一个。在向导完成之后，您可以单独地配置身份验证和记帐提供者（例如，您希望使用Windows身份验证和RADIUS记帐）。您可以在路由和远程访问嵌入式管理单元的VPN路由器属性的身份验证选项卡中配置身份验证和记帐提供者。
在配置了VPN路由器后，您可以使用路由和远程访问嵌入式管理单元，开始创建请求拨号接口，配置路由。详细信息，请参阅本文的“部署基于PPTP的站点到站点VPN连接”和“部署基于L2TP/IPSec的站点到站点的VPN连接”。
Internet网络基础构架
要创建一个跨越Internet的站点到站点的VPN连接连接到应答路由器：
这个应答路由器的名称必须是可解析的。
这个应答路由器必须是可达到的。
必须允许从这个应答路由器进出的VPN流量。
应答路由器名称解析性
虽然可以使用连接建立的应答路由器的名称来配置请求拨号接口，但是我们推荐您使用IP地址，而不是名称。如果您使用名称，那么它将被解析为应答路由器的公共IP地址，发送到VPN路由器上所运行服务的流量将以纯文本形式在Internet中传送。
应答路由器可到达性
为了能够到达，必须为应答路由器分配公共IP地址，使数据包能够通过Internet的路由基础构架进行转发。如果您已经为其分配了来自ISP或Internet注册机构的静态公共IP地址，通常不会有任何问题。在一些配置中，应答路由器实际上被配置为专用IP地址，而仅具有一个发布的静态IP地址，通过这个地址来让Internet的用户进行访问。Internet和应答路由器之间的设备将对进出应答路由器的数据包中的发布的 和真实的IP地址进行转换。
虽然路由基础构架可能有效，但是应答路由器仍然可能无法达到，可能是由于防火墙、数据包筛选路由器、网络地址转换器、安全性网关，或者其他类型的阻止应答路由器计算机发送或接受数据包的设备。
VPN路由器和防火墙配置
VPN路由器和防火墙的配合使用有两种方法：
VPN路由器直接连接到Internet，而防火墙位于VPN路由器和站点之间。
在这种配置中，您必须使用数据包筛选器来配置这个VPN路由器，仅允许VPN 流量从它的Internet接口进出。防火墙可以配置为允许特定类型的站点内流量。
防火墙连接到Internet，而VPN路由器位于防火墙和站点之间。
在这种配置中，防火墙和VPN路由器都连接到一个被称为周边网络（也被称为隔离区域[DMZ]或被屏蔽的子网）的网络上。防火墙和VPN路由器都必须使用数据包筛选器进行配置，仅允许VPN流量进出Internet。图2显示了这种配置。
有关在这两种配置中为VPN和防火墙配置数据包筛选器的详细信息，请参阅附录A。
设计点：应答路由器的Internet可访问性
在为站点到站点VPN连接配置您的Internet基础构架时，请考虑下列问题：
在任何可能的情况下，请使用应答路由器的IP地址来配置您的请求拨号接口。如果您使用名称，那么请确保您应答路由器的DNS名称可以进行解析，可以在您的Internet DNS服务器或ISP的DNS服务器中添加合适的DNS记录。使用ping工具来ping每个应答路由器的名称，检查名称的可解析性。由于数据包筛选，ping命令的结果可能是"Request timed out"，但请检查指定的名称被ping工具解析为正确的IP地址。
确保您应答路由器的IP地址可以从Internet到达，您可以使用ping工具来ping应答路由器的名称或地址，并在直接连接到Internet时将timeout设置为5秒（使用-w命令行选项）。如果您获得一个"Destination unreachable"错误信息，那么表示这个应答路由器是无法到达的。
在连接到Internet和周边网络的防火墙及应答路由器接口上配置数据包筛选，针对PPTP流量、L2TP/IPSec流量或两者皆有。您可以通过路由和远程访问服务器安装向导来自动地配置正确的数据包筛选器，您可以选择远程访问（拨号或VPN）配置。详细信息，请参阅附录A。
身份验证协议
为了对尝试创建PPP连接的呼叫路由器进行身份验证，Windows Server 2003支持了大量不同的PPP身份验证协议，包括：
密码身份验证协议(PAP)
Shiva密码身份验证协议(SPAP)
质询握手身份验证协议(CHAP)
Microsoft质询握手身份验证协议(MS-CHAP)
MS-CHAP版本2 (MS-CHAP v2)
可扩展身份验证协议-消息摘要 5 (EAP-MD5)
可扩展身份验证协议-传输层协议(EAP-TLS)
对于PPTP连接，您必须使用MS-CHAP、MS-CHAP v2或EAP-TLS。只有这三种身份验证协议才能同时在呼叫路由器和应答路由器上生成相同的加密密钥。MPPE使用这个加密密钥对所有VPN连接上发送的PPTP数据进行加密。MS-CHAP和MS-CHAP v2是基于密码的身份验证协议。
在不使用用户证书时，强烈推荐使用MS-CHAP v2。因为它是比MS-CHAP更强大的身份验证协议，能够提供共有的身份验证。通过共有身份验证，应答路由器和呼叫路由器能够进行相互的身份验证。
注意: 如果您必须使用一个基于密码的身份验证协议，那么请在网络中强制使用强健的密码。强健的密码是长密码（多于8个字符），由大小写字母、数字和符号随机的组成。例如f3L*02~&xR3w#4o就是一个强健的密码。
EAP-TLS的使用是于证书基础构架以及用户证书相结合的。通过EAP-TLS，呼叫路由器发送用户证书用于身份验证，身份验证服务器（应答路由器或RADIUS服务器）发送计算机证书用于身份验证。这是最强健的身份验证方式，它不依赖于密码。如果身份验证服务器是Windows Server 2003 VPN路由器或IAS服务器，EAP-TLS只有在该身份验证服务器是Active Directory域成员时才能使用。
注意: 您可以使用第三方CA作为EAP-TLS证书。详细信息，请参阅白皮书“虚拟专用网络和Windows Server 2003：部署远程访问VPN”的附录E。
对于L2TP/IPSec连接，您可以使用所有的PPP身份验证协议，因为用户身份验证是在呼叫路由器和应答路由器已经建立安全的通讯通道（被称为IPSec安全关联[SA]）之后进行的。但是，我们还是推荐使用MS-CHAP v2 或EAP-TLS。
设计点：使用哪种身份验证协议？
在为VPN连接选择身份验证协议时，请考虑下列内容：
如果您使用签署用户证书的证书基本构架，那么请为PPTP和L2TP连接使用EAP-TLS身份验证协议。Windows NT 4.0 RRAS路由器不支持EAP-TLS。
如果您必须使用一个基于密码的身份验证协议，则请使用MS-CHAP v2，并通过组策略强制采用强健的密码。运行Windows Server 2003、Windows 2000和Windows NT 4.0（具有RRAS和Service Pack4及更新版本）的计算机支持MS-CHAP v2。
Windows Server 2003支持两种基于PPP的站点到站点VPN协议：
点到点隧道协议
具有IPsec的第二层隧道协议
点到点隧道协议
PPTP最初在Windows NT 4.0中引入，它利用点到点协议（PPP）用户身份验证和微软点到点加密（MPPE）来对IP流量进行封装和加密。当使用MS-CHAP v2并具有强健的密码时，PPTP是一种安全的VPN技术。对于非基于密码的身份验证，可以在Windows Server 2003中使用EAP-TLS来支持用户证书。PPTP是被广泛支持的，并且能方便地部署，它可以用来跨越大部分的网络地址转换器（NAT）。
具有IPSec的第二层隧道协议
L2TP利用PPP用户身份验证和IPSec封装式安全措施负载 (ESP)传输模式来封装和加密IP流量。这种组合（被称为L2TP/IPSec）使用基于证书的计算机身份验证，它不仅创建基于PPP的用户身份验证，而且还创建IPSec安全关联。L2TP/IPSec为每个数据包提供了数据完整性和数据身份验证。但是，L2TP/IPSec需要一个证书基础构架来分配计算机证书，Windows Server 2003 VPN路由器和其他第三方VPN路由器支持这种协议。
设计点：PPTP或L2TP?
在为站点到站点VPN连接选择PPTP还是L2TP时，请考虑下列内容：
PPTP可以于Windows Server 2003、Windows 2000以及具有RRAS的Windows NT version 4.0一起使用。PPTP不需要一个证书基础构架来签署计算机证书。
基于PPTP的VPN连接提供了数据保密性（被截获的数据包在没有加密密钥的情况下是无法解读的）。但是，PPTP VPN连接无法提供数据完整性（证明数据在传输过程中没有被改变）或数据身份验证（证明数据由授权的计算机发送）。
基于PPTP的呼叫路由器可以位于NAT的后面，因为大部分NAT都包括一个NAT编辑器，知道如何正确的转换PPTP隧道数据。例如，拨号连接的Internet连接共享(ICS)特性和Windows Server 2003路由和远程访问服务的NAT/Basic Firewall路由协议组件包括一个NAT编辑器，它能够转换来自该NAT后PPTP客户端的PPTP流量。如果只有一个公共地址，如果NAT被配置为将PPTP隧道数据转换并转发到这个VPN路由器，应答路由器不能位于NAT的后面。除非拥有多个公共IP地址，并且公共IP地址与应答路由器专用IP地址一一对应，应答路由器才能位于NAT之后。大部分只具有一个公共IP地址的NAT（包括ICS和NAT路由协议组件）可以被配置为根据IP地址以及TCP和UDP端口来允许入站流量。但是，PPTP隧道数据不使用TCP或UDP报头。因此在使用单个IP地址时，应答路由器无法位于使用ICS或NAT路由协议组件的计算机之后。
基于L2TP/IPSec的VPN路由器不能位于NAT之后，除非呼叫路由器和应答路由器都支持IPSec NAT Traversal (NAT-T)。只有Windows Server 2003才支持用于站点到站点VPN连接的IPSec NAT-T。
L2TP/IPSec只能与Windows Server 2003、Windows 2000和第三方VPN路由器一同使用，并将计算机证书作为IPSec的默认身份验证方式。计算机证书身份验证需要一个证书基础构架，为应答路由器计算机和所有呼叫路由器计算机签署计算机证书。
通过IPSec，基于L2TP的VPN连接提供了数据保密性、数据完整性、数据身份验证以及回放保护。
PPTP和L2TP并不是一个二选一的选择。在默认情况下，Windows Server 2003 VPN路由器同时支持PPTP和L2TP连接。您可以对于某些站点到站点VPN连接（来自运行Windows Server 2003、Windows 2000或具有RRAS的Windows NT 4.0，但没有安装计算机证书的呼叫路由器）使用PPTP，而对于其他站点到站点VPN连接（来自运行Windows Server 2003或Windows 2000并安装了计算机证书的呼叫路由器）使用L2TP。
如果您同时使用PPTP和L2TP，您可以创建单独的远程访问策略，为PPTP和L2TP连接定义不同的连接参数。
站点网络基础构架
针对的网络基础构架是VPN设计的重要组成部分。如果设计不正确，呼叫路由器将无法获得正确的IP地址，并且将无法在不同站点的计算机之间交换数据包。
如果使用域名系统（DNS）或Windows Internet名称服务（WINS）服务器的IP地址来配置呼叫路由器，那么在PPP连接协商过程中，应答路由器将不再请求DNS和WINS服务器的IP地址。如果没有使用DNS和WINS服务器的IP地址来配置呼叫路由器，那么将请求DNS 和WINS服务器。应答路由器不会从呼叫路由器请求DNS和WINS服务器IP地址。
与Windows Server 2003、Windows 2000以及Windows XP远程访问客户端不同，呼叫路由器不会向应答路由器发送DHCPInform消息，以获得其他TCP/IP配置信息。
在默认情况下，呼叫路由器并不在应答路由器的DNS或WINS服务器中注册自己。要改变这种行为，请将注册表值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman \PPP\ControlProtocols\BuiltIn\RegisterRoutersWithNameServers设置为1。
每个VPN路由器都是一个IP路由器，因此必须正确地配置路由集，使得所有的位置都可以到达。每个VPN路由器尤其需要包含下列内容：
需要一个默认路由，指向防火墙，或指向直接连接到Internet的路由器。
这个路由使得在Internet中的所有位置都可以到达。
对于指向相邻站点路由器的VPN路由器而言，需要一个或多个路由来总结这个路由器的站点中所使用的地址。
这些路由使得可以从该VPN路由器到达该路由器站点中的所有位置。如果没有这些路由，站点中那些与VPN路由器没有连接同一个子网的主机都是无法到达的。
要添加指向Internet的默认路由，请配置具有默认网关的Internet接口，然后手动地配置没有默认网关的站点接口。
要在每个VPN路由器的路由表中添加站点路由，您可以：
使用路由和远程访问嵌入式管理单元来添加静态路由。您不需要为站点中的每个子网都添加一个路由。在最少操作时，您只需要添加总结所有站点中可能地址的路由。例如，如果您的站点使用部分专用地址空间10.0.0.0/8来对您的子网和主机进行编号，那么您不需要为每个子网都添加一个路由。您只需要为10.0.0.0添加一个具有子网掩码255.0.0的路由，指向您的VPN路由器所属站点子网的相邻路由器。
如果您在站点中使用路由信息协议（Routing Information Protocol，RIP）或开放式最短路径优先（Open Shortest Path First，OSPF）路由协议，那么您可以添加和配置路由和远程访问服务的RIP或OSPF路由协议组件，这样VPN路由器将作为动态路由器参与到路由信息的传播工作中。
如果您的站点只有一个子网，那么不需要进一步的配置。
在建立站点到站点VPN连接后，每个路由器都将使用对应于该连接PPTP或L2TP端口的逻辑接口来发送流量。在PPP协商过程中，可能会为这些逻辑接口分配IP地址。VPN路由器逻辑接口的可达到性取决于您如何配置每个VPN路由器，从而为远程访问客户端和呼叫路由器获得IP地址。在连接过程中分配给VPN路由器的IP地址可以来自于：
子网内地址范围，这是VPN路由器所属站点子网的地址范围。
当VPN路由器被配置为使用DHCP来获取IP地址，或手动配置的IP地址池在所属子网地址范围以内的时候，将使用子网内地址范围。
子网外地址范围，这是不同于VPN路由器逻辑所属子网的另一个子网的地址范围。
当VPN路由器被手动地配置为另一个子网的IP地址池时，将使用子网外地址范围。
子网内地址范围
如果您正在使用一个子网内地址范围，那么不需要其他的路由配置，因为VPN路由器将作为所有指向其他连接VPN路由器逻辑接口的数据包的代理。VPN路由器子网中的路由器和主机将指向连接VPN路由器逻辑接口的数据包转发这个VPN路由器，然后由这个路由器将它们传递到合适的连接VPN路由器。
子网外地址范围
如果您正在使用一个子网外地址范围，那么您必须在站点路由基础构架中添加总结这个子网外地址范围的路由，这样指向连接VPN路由器逻辑接口的流量才能够被转发到这个VPN路由器，然后由该VPN路由器发送给合适的连接VPN路由器。为了给路由提供最佳的地址范围总结，请选择可以用一个前缀和子网掩码表示的地址范围。详细信息，请参阅Windows Server 2003帮助和支持的“用掩码表示IP地址范围”。
您可以通过下面的方法，在站点的路由基础构架中添加总结子网外地址范围的路由：
为子网外地址范围，在指向VPN路由器站点接口的相邻路由器中添加静态路由。配置这个相邻路由器使用您站点中的动态路由协议，将这个静态路由传播给站点中的其他路由器。
如果这个VPN路由器使用OSPF作为动态路由器，那么这个VPN路由器必须被配置为自治系统边界路由器（ASBR），这样子网外地址范围的静态路由将被传播给站点中的其他OSPF路由器。
如果您的站点由一个单独的子网组成，那么您必须为子网外地址访问的永久路由对每个站点主机进行配置，使这些永久路由指向VPN路由器站点接口，或者将VPN路由器作为默认网关对每个站点主机进行配置。由于子网外地址范围的路由需要额外的主机配置，因此我们建议您在使用由单个子网组成的小型办公或家庭办公（SOHO）网络时，使用子网内地址池。
设计点：路由基础构架
在配置用于站点到站点VPN连接的路由基础构架时，请考虑下列内容：
使用默认网关配置VPN路由器的Internet接口。不要使用默认网关配置VPN路由器的站点接口。
在VPN路由器中添加总结VPN路由器所属站点所用全部地址的静态IP路由。或者，如果您使用RIP或OSPF作为您的动态路由协议，那么请在这个VPN路由器上配置并启用RIP或OSPF。如果您使用RIP或OSPF以外的其他路由协议（例如，内部网关路由协议 [Interior Gateway Routing Protocol，IGRP]），那么请在连接到VPN路由器所属子网的接口上对相邻路由器配置RIP或OSPF，然后在所有其他接口上配置IGRP。
通过使用DHCP获得IP地址，或手动地配置子网内地址池，使用子网内地址范围对VPN路由器进行配置。
AAA基础构架
身份验证、授权和记帐（AAA）基础构架用于：
对呼叫路由器的证书进行身份验证。
授权VPN连接。
记录VPN连接的创建和中断，用于帐户记录。
AAA基础构架包括：
应答路由器计算机
RADIUS服务器计算机
正如前面所提到的，Windows Server 2003应答路由器可以被配置为使用Windows或RADIUS作为它的身份验证和记帐提供者。在您拥有多个应答路由器和远程访问VPN服务器时，或者不同的拨号和VPN设备时，RADIUS能提供集中的AAA服务。
当您将Windows配置为身份验证提供者时，应答路由器将使用安全的远程过程调用（RPC）通道与域控制器进行通讯，从而执行VPN的身份验证。它还会通过用户帐户的拨号属性和本地配置的远程访问策略来执行连接尝试的授权。
如果您将RADIUS配置为身份验证提供者，应答路由器将依赖RADIUS服务器来执行身份验证和授权。当尝试建立一个VPN连接时，应答路由器将在RADIUS Access-Request消息中把呼叫路由器证书和其他连接参数发送给配置的RADIUS服务器。如果这个连接尝试通过了身份验证和授权，那么RADIUS服务器将返回一个RADIUS Access-Accept消息。如果这个连接尝试没有通过身份验证或授权，那么RADIUS服务器将返回一个RADIUS Access-Reject消息。
当您将Windows配置为记帐提供者时，那么应答路由器将根据路由和远程访问嵌入式管理单元远程访问日志文件夹本地文件对象属性的设置选项卡中的设置，在本地日志文件(默认为SystemRoot\System32\Logfiles\Logfile.log)中记录VPN连接信息。在默认情况下，所有类型的日志都是被禁用的。Windows Server 2003也支持将连接帐户信息发送给结构化查询语言(SQL)服务器。
如果您将RADIUS配置为记帐提供者，那么应答路由器将为RADIUS服务器上的VPN连接发送RADIUS消息，在其中记录了帐户信息。
如果您使用RADIUS和Windows域作为用户帐户数据库，用于检验证书和获得拨号属性，那么Microsoft建议您使用Internet身份验证服务(IAS)，它是Windows Server 2003和Windows 2000 Server的一个可选网络组件。IAS是一个全功能的RADIUS服务器，与Active Directory以及路由和远程访问服务紧密地集成。
在将IAS作为RADIUS服务器时：
IAS使用安全的RPC通道与域控制器进行通讯，进而执行VPN连接的身份验证。IAS通过用户帐户的拨号属性以及在IAS服务器上配置的远程访问策略来执行对连接尝试的授权。
IAS根据Internet身份验证服务嵌入式管理单元远程访问日志文件夹本地对象属性的配置，在本地日志文件中(默认为SystemRoot\System32\Logfiles\Logfile.log)记录所有RADIUS帐户信息。 Windows Server 2003中的IAS还支持将连接帐户信息发送给SQL服务器。
Windows Server 2003的IAS也可以用作RADIUS代理。详细信息，请参阅Windows Server 2003帮助和支持。
远程访问策略
远程访问策略是一组有序的规则，定义了如何接受和拒绝条件。对于接受的连接而言，远程访问策略还可以定义连接限制。每个规则拥有一个或多个条件，一系列配置文件，以及一个远程访问权限设置。连接尝试将根据远程访问策略依次地进行审核，试图确定该连接尝试是否满足每个策略的所有条件。如果连接尝试没有满足每个策略的所有条件，那么这个连接尝试将被拒绝。
如果连接满足远程访问策略的所有条件，并被授予远程访问权限，那么这个远程访问策略文件将指定一系列连接限制。用户帐户的拨号属性也会提供一些限制。在可以应用的时候，用户帐户的连接限制将替代远程访问策略连接限制。
远程访问策略由下列元素组成：
远程访问策略条件是与连接尝试设置相对比的一个或多个属性。如果有多个条件，那么所有条件都必须与连接尝试的设置匹配，以使连接尝试与策略匹配。对于VPN连接，您通常使用下列条件：
NAS 端口类型。 通过将NAS端口类型条件设置为虚拟 (VPN)，您可以指定所有VPN连接。
隧道类型。 通过将隧道类型设定为点到点隧道协议(PPTP)或第二层隧道协议(L2TP)，您可以为PPTP和L2TP连接执行不同的策略。
Windows组。 通过将Windows组设置为合适的组，您可以根据组成员资格指定连接参数。
当用户帐户上的远程访问权限被设置为通过远程访问策略控制访问时，您可以使用权限设置来授予或拒绝连接尝试的远程访问。否则，将由用户帐户上的远程访问权限设置来确定远程访问权限。
远程访问策略配置文件是当授权连接时应用于连接的一组属性。对于VPN连接，您可以使用下列配置文件设置：
拨号限制，用来定义连接可以存在的时间长度，以及应答路由器中断连接之前可以保持空闲的时间长度。
身份验证设置，用来定义在发送证书和EAP类型配置（例如EAP-TLS）时，呼叫路由器使用哪个身份验证协议。
加密设置，可以定义是否需要机密以及加密强度。对于加密强度而言，Windows Server 2003支持基本 (对于PPTP使用40位的MPPE，对于L2TP使用56位的数据加密标准[DES])、强(对于PPTP使用56位MPPE，对于L2TP使用56位DES)以及最强(对于PPTP使用128位MPPE，对于L2TP使用3DES)。
例如，您可以创建一个命名为“VPNRouters”的Windows组，并将所有呼叫路由器的用户帐户作为这个组的成员。然后，您可以使用新建远程访问策略向导来创建一个策略，指定VPN连接使用VPNRouters组。通过这个向导，您还可以选择一个特定的身份验证方式和加密强度。
注意: 远程访问策略配置文件IP选项卡中的IP数据包筛选器只应用在远程访问VPN连接上。它们对请求拨号连接没有影响。
Windows域用户帐户和组
Windows NT version 4.0域、混合模式Active Directory域以及本机模式域中包含了用户帐户和组，路由和远程访问服务使用这些用户帐户和组来对VPN连接尝试进行身份验证和授权。
用户帐户包含用户名和某种形式的用户密钥，它们可以用来检验呼叫路由器的用户证书。其他帐户属性确定是否启用或禁用、锁定这个用户帐户，或仅在指定时间段内允许登录。如果一个用户帐户被禁用、锁定或在VPN连接期间无法登录，那么这个站点到站点VPN连接将被拒绝。而且，如果呼叫路由器的用户帐户被配置为在下次登录时更改密码，那么这个站点到站点VPN连接也将失败，因为在尝试建立连接的同时更改密码是一个交换的过程。请求拨号路由器不需要能够在没有用户干预的情况下建立连接。因此，呼叫路由器的所有用户帐户都必须清除用户在下次登录时须更改密码复选框，并选中密码永不过期复选框。您可以在用户帐户属性的帐户选项卡的帐户选项中找到这些复选框。当您使用请求拨号接口向导创建拨号帐户时，这些帐户设置将被自动地配置。
您应该为每个包含呼叫路由器的站点使用不同的用户帐户。每个用户帐户应该具有与应答路由器上所配置的请求拨号接口相一致的名称。当您使用请求拨号接口向导创建拨号帐户时，这种不同站点呼叫路由器所使用的用户帐户和请求拨号接口之间的一一对应关系将自动地创建。
用户帐户还包含拨号设置。与VPN连接关系最紧密的拨号设置是远程访问权限设置，它包括下列值：
通过远程访问策略控制访问
允许访问和拒绝访问设置明确地允许或拒绝远程访问，它们等同于Windows NT 4.0域帐户的远程访问权限设置。当您使用通过远程访问策略控制访问设置时，远程访问权限由符合远程访问策略的远程访问权限设置来确定。如果用户帐户在一个混合模式域中，那么将无法使用通过远程访问策略控制访问设置，您必须根据每个用户来管理远程访问权限。如果用户帐户在本机模式域中，那么则可以使用通过远程访问策略控制访问设置，您可以根据用户或使用组来管理远程访问权限。当使用请求拨号接口向导创建拨号帐户时，远程访问权限将被设置为允许访问。
当使用组来管理访问时，您可以使用您现有的组，然后创建远程访问策略，根据组名称来允许、拒绝或限制访问。例如，Employees组没有VPN远程访问限制，而Contractors组只能在上班时间建立VPN连接。或者，您可以根据所建立的连接类型来创建组。例如，您可以创建一个VPNRouters组，将所有被允许创建VPN连接的用户帐户都添加为这个组的成员。
用户帐户的单向初始化的连接和静态路由
在使用单向初始化的连接时，一个路由器总是应答路由器，而另一个路由器总是呼叫路由器。应答路由器接受连接，而呼叫路由器初始化这个连接。单向初始化的连接很适合分散和集中拓扑，在这种结构中，分公司的路由器是唯一初始化连接的路由器在单向初始化的连接中。
为了简化单向初始化连接的配置，单机Windows Server 2003或本机模式Active Directory域中的用户帐户支持静态路由的配置。在使用这个用户帐户的VPN连接建立的时候，这个静态路由将自动地被添加到VPN路由器的路由表中。如果这个VPN路由器参与站点的动态路由，那么这些路由将通过RIP和OSPF等协议传播给站点中的其他站点。用户帐户的静态路由的配置方法是：在用户帐户属性的拨号选项卡中选中应用静态路由复选框，然后添加静态路由。
要使用用户帐户中的静态路由，请按照一般的方法配置呼叫路由器。在应答路由器上，您所需要做的就是创建一个呼叫路由器使用的用户帐户，并配置对应于呼叫路由器站点的静态路由。由于在应答路由器上没有与呼叫路由器用户帐户同名的请求拨号接口，因此传入VPN连接被确定为远程访问连接。呼叫路由器用户帐户的静态路由被添加到这个VPN路由器的路由表中，所有指向静态路由所暗示位置的流量都通过逻辑远程访问连接发送到呼叫路由器。
注意: 只有在传入连接是远程访问VPN连接（呼叫路由器证书中的用户名与应答路由器请求拨号接口的名称不一致）时，用户帐户上的静态路由才应用在应答路由器上。当传入连接是请求拨号连接是，用户帐户上的静态路由将不被应用。
设计点：AAA基础构架
在为站点到站点VPN连接配置AAA基础构架时，请考虑下列内容：
如果您拥有多个VPN路由器，并且希望集中AAA服务或异类拨号和VPN设备的混合，请使用RADIUS服务器，并将VPN配置为RADIUS身份验证和记帐提供者。
如果您的用户帐户数据库是一个Windows域，请使用IAS作为您的RADIUS服务器。如果您使用IAS，请在域控制器上安装IAS，以获得最佳性能。并安装至少两个IAS服务器，用于AAA服务的故障转移和容错。
不论本地配置还是在IAS服务器上配置，请使用远程访问策略来授权VPN连接以及指定连接限制。例如，使用远程访问策略来根据组成员资格授予访问权限，强制使用加密以及指定的加密强度，或指定使用EAP-TLS。
对于单向初始化的连接，您可以安装常规方法配置呼叫路由器，然后使用包含呼叫路由器所属站点的静态路由的用户帐户来配置应答路由器。
请使用配置在VPN路由器和RADIUS服务器上的RADIUS共享密钥来加密用户密码和加密密钥等敏感的RADIUS消息字段。尽可能使这个共享密钥足够长（22个字符以上），随机排列字符、数字和符号，并经常进行更改，从而有效地保护您的RADIUS流量。例如，8d#&9fq4bV)H7%a3@dW9.&就是一个强健的共享密钥。为了进一步保护RADIUS流量，请使用IPSec策略来保护所有使用RADIUS UPD端口（用于RADIUS身份验证流量的，以及用于RADIUS帐户流量的）的流量的数据保密性 。
证书基础构架
为了对L2TP连接执行基于证书的身份验证，并为使用EAP-TLS的站点到站点VPN连接执行基于用户证书的身份验证，必须建立一个证书基础构架用来签署用于身份验证的合适证书，并对提交的证书进行检验。
用于L2TP/IPSec的计算机证书
如果您为Windows Server 2003中IPSec策略规则手动地配置证书身份验证方法，那么您可以指定一个根证书颁发机构（CA）列表，接受来自这些CA的证书用于身份验证。对于L2TP连接，用于L2TP流量的IPSec规则是自动配置的，因此无法配置这个根CA的列表。相反，L2TP连接中的每个计算机都向其IPSec对发送一个根CA列表，接受来自这些CA的证书用于身份验证。这个列表中的根CA对应于那些签署证书并将它们存储在计算机证书存储库中的根CA。例如，如果计算机A由CA CertAuth1和CertAuth2签署了计算机证书，那么在主模式协商过程中，计算机A将提醒它的IPSec对：它只接受来自CertAuth1和CertAuth2的证书进行身份验证。如果这个IPSec对（计算机B）在其计算机证书库中没有CertAuth1或CertAuth2签署的有效证书，那么这次IPSec安全性协商将失败。
请在尝试建立L2TP连接之前，确保满足下列条件之一：
呼叫路由器和应答路由器由同一个CA签署计算机证书。
为呼叫路由器和应答路由器签署计算机证书的CA能够沿着一个有效的证书链追溯到同一个根CA。
一般情况下，呼叫路由器必须安装有一个由CA签署的有效计算机证书，并且这个CA必须能够沿着有效的证书链追溯到应答路由器信任的根CA。另外，应答路由器也必须安装有一个由CA签署的有效计算机证书，并且这个CA必须能够沿着有效的证书链追溯到呼叫路由器信任的根CA。
通常，由单独的一个CA向公司内所有的计算机签署证书。因此，公司中的所有计算机都拥有来自于同一CA的计算机证书，并且从同一个CA请求用于身份验证的证书。
有关为L2TP连接在VPN路由器上安装计算机证书的信息，请参阅"部署基于L2TP/IPSec的站点到站点VPN连接。"
注意: Windows Server 2003路由和远程访问服务支持预共享密钥，用于L2TP/IPSec连接的IPSec身份验证。要配置应答路由器，请在路由和远程访问嵌入式管理单元VPN路由器属性的安全性选项卡中选择允许为L2TP连接定制IPSec策略，然后输入这个预共享的密钥。要配置呼叫路由器，请在请求拨号接口属性的安全性选项卡中点击IPSec设置，然后输入这个预共享的密钥。但是，用于L2TP/IPSec连接的预共享密钥身份验证并不是安全的，因此我们并不推荐采用这个方式。除非在部署证书基础构架过程中，或连接到不支持证书身份验证的第三方VPN路由器时，将其作为过渡方法。
用于EAP-TLS身份验证的用户和计算机证书
要为Windows Server 2003的站点到站点VPN连接执行EAP-TLS身份验证：
呼叫路由器必须配置有用户证书，并在EAP-TLS身份验证过程中提供。
身份验证服务器必须配置有计算机证书，并在EAP-TLS身份验证过程中提供。这个身份验证服务器可以是应答路由器（如果应答路由器被配置为使用Windows身份验证提供者），或是RADIUS服务器（如果应答路由器被配置为使用RADIUS身份验证提供者）。
当满足下列条件时，EAP-TLS身份验证就能够成功通过：
呼叫路由器提供有效的用户证书，签署该证书的CA能够沿着一个有效的证书链追溯到应答路由器信息的根CA。
身份验证服务器提供有效的计算机证书，签署该证书的CA能够沿着一个有效的证书链追溯到呼叫路由器信息的根CA。
呼叫路由器的用户证书包含客户端身份验证（Client Authentication）增强的密钥使用(OID "1.3.6.1.5.5.7.3.2")。
应答路由器的计算机证书包含服务器身份验证（Server Authentication）增强的密钥使用(OID "1.3.6.1.5.5.7.3.1")。
对于一个Windows Server 2003 CA而言，将创建一个用于请求拨号连接的特殊类型用户证书――路由器（离线请求）证书，并映射到一个Active Directory用户帐户。当呼叫路由器尝试建立VPN连接时，将在连接协商过程中发送这个路由器（离线请求）证书。如果这个路由器（离线请求）证书有效，那么它将用来确定从哪个合适的用户帐户获得拨号属性。
有关为EAP-TLS身份验证配置用户和计算机证书的信息，请参阅"配置基于PPTP的站点到站点VPN连接"和"部署基于L2TP的站点到站点VPN连接。"
设计点：证书基础构架
在为站点到站点VPN连接配置证书基础构架时，请考虑下面内容：
为了使用用于IPSec的计算机证书来创建L2TP/IPSec站点到站点VPN连接，您必须在呼叫路由器和应答路由器的计算机证书存储库中安装一个证书。
为了使用EAP-TLS对VPN连接进行身份验证，呼叫路由器必须安装有一个用户证书，身份验证服务器（应答路由器或RADIUS服务器）必须安装有一个计算机证书。
要在跨越Internet的计算机上安装一个计算机或用户证书，请使用基于密码的身份验证协议（例如MS-CHAP v2）建立一个PPTP连接。在连接建立后，使用证书管理器嵌入式管理单元或Internet Explorer来请求合适的证书。一旦安装了这些证书后，立即中断原有连接，然后重新使用合适的VPN协议和身份验证方法来建立连接。例如，当未安装证书的远程办公室需要建立L2TP/IPSec或EAP-TLS身份验证的连接时，就是这样一种情况。
部署基于PPTP的站点到站点VPN连接
使用Windows Server 2003部署基于PPTP站点到站点VPN连接的过程由下列几个步骤组成：
部署证书基础构架
部署Internet基础构架
部署应答路由器
部署呼叫路由器
部署AAA基础构架
部署站点网络基础构架
部署站点间网络基础构架
部署证书基础构架
为了实现基于PPTP的VPN连接，只有在使用EAP-TLS身份验证时才需要证书基础构架。如果您只使用基于密码的身份验证协议（例如MS-CHAP v2），那么不需要证书基础构架，而且也不将证书基础构架用于VPN连接的身份验证。
要对站点到站点VPN连接使用EAP-TLS身份验证，您必须：
在每个呼叫路由器计算机上安装一个用户证书。
在呼叫路由器上配置EAP-TLS。
在身份验证服务器（应答路由器或RADIUS服务器）上安装一个计算机证书。
在应答路由器上配置EAP-TLS，并为站点到站点连接配置远程访问策略。
在呼叫路由器上安装用户证书
如果您使用Windows Server 2003 CA，那么将创建一个路由器（离线请求）证书，并映射到一个Active Directory用户帐户。要为呼叫路由器部署路由器（离线请求）证书，网络管理员必须：
配置Windows Server 2003 CA来签署路由器（离线请求）证书。
请求一个路由器（离线请求）证书。
导出这个路由器（离线请求）证书。
将这个证书映射到合适的用户帐户。
将这个路由器（离线请求）证书发送给呼叫路由器的网络管理员。
<TD class=listNumber
发表评论：
载入中。。。
&&&20141&&&
载入中。。。
载入中。。。}