用户名：rickyfang
文章数：552
评论数：1677
访问量：1981026
注册日期：
阅读量：1297
阅读量：3317
阅读量：581866
阅读量：466438
51CTO推荐博文
在此部分中将进行如下操作：
一、在WIN2K8 DC上安装AD证书服务，并设置为企业根。
二、在SSTP VPN服务器上安装IIS7.5
三、在SSTP VPN服务器上使用IIS7.5中的证书请求向导，为SSTP VPN服务器请求一个机器证书。
四、在SSTP VPN服务器安装RRAS角色，并配置其为VPN和NAT服务器。
五、配置NAT服务器以发布CRL（证书吊销列表）
一、在WIN2K8 DC上安装AD证书服务，并设置为企业根。
1、在WIN2K8 DC上，打开服务器管理器，在“角色”中点选“添加角色”，并在弹出添加角色向导中点选“ACTIVE DIRECTORY 证书服务”，下一步：
2、在“选择角色服务”窗口中，选择“证书颁发机构”以及“证书颁发机构WEB注册”两项，同时，在选择“证书颁发机构WEB注册”后弹出的窗口中，点“添加必要的角色服务”。下一步：
1、 在“指定安装类型”窗口中，选择“企业“项。（当然也可以选择独立项，但显然，这不是这次实验的目的，如果今后有时间，我会以此次实验拓朴为原型，改变CA角色到SSTP VPN服务器上，并设置成独立CA。也许还简单些。）下一（几）步：
4、中间一些过程略去，实在没有什么可要说明的。在“为CA配置加密“以及”配置CA名称“两个界面，均按默认设置，并下一步：
5、在“选择角色服务”界面，拖动按钮至中间，并在“安全性”选项前全部打上对勾，请务必如此，这些动作是为下面的服务器证书做好组件安装准备的，否则你就不能使用证书申请向导了。选择后，下一步：
6、在“确认安装选择“界面，通过下拉右侧按钮可以清楚的看到之前的设定，如果你认为没有问题，就选择安装，如果你认为还需要更改，就选上一步。此处，选择”安装“。
7、“AD CS“,AD证书服务安装完成后的界面如下。至此，完成了AD CS的角色及角色服务安装，DC和VPN Server需重启。
8、设置CA的CRL因采用HTTP的方式从企业CA下载CRL，因此需设置CRL分发点，打开“证书颁发机构” 的属性
9、在属性窗口的“扩展”选项卡中选择扩展“CRL分发点(CDP)”，选中列表中的http，然后对下面的两个选项打勾。
10、在属性窗口的“扩展”选项卡中选择扩展“颁发机构信息访问(AIA)”，选中列表中的http，然后对下面的一个选项打勾。
11、设置完成后会自动重启证书服务。AIA（授权信息访问）内含何处可以找到CA最新证书的信息，如此VPN客户端便可以通过HTTP的方式从CA下载CRL与AIA。
二、在SSTP VPN服务器上使用IIS7.5中的证书请求向导，为SSTP VPN服务器请求一个机器证书。
在上文中，我们定制安装了IIS7.5服务器，接下来的操作就是为SSTP VPN服务器申请一个机器证书。
SSTP VPN服务器需要一个机器证书来创建与SSL VPN客户端的SSL VPN确连接。这个机器证书中的“通用名称”必需是SSL VPN客户端连接SSTP VPN服务器所使用的名子（DNS域名）。故为了解析SSTP VPN服务器的公网IP地址，需要为此名字创建DNS 记录。
以下操作是在SSTP VPN服务器中进行。
1、打开服务器管理器，展开“角色”至“INTERNET信息服务器”（也可以通过管理工具打开它）项。并点选中间控制面板中的VPN（contoso\administrator）。在右侧控制面板中可以看到“服务器证书”选项。接下的操作都与此有关。双击或是点右上角的“打开功能”以打开它。
2、在打开的“服务器证书”控制面板中，选择右侧的“创建域证书”，并在弹出的“可分辨名称属性”对话框中，填入图中所示内容（你可以有所不同，根据环境需要）。值得注意的是，这里的，是对应当到SSTP VPN服务器的外部IP的，由于这里只是测试环境，你需要在SSTP VPN客户端的主机文件里新建DNS A记录。下一步：
3、此时的登陆帐号是contoso\administrator,也只有显示contoso\users这样的情况时，才会出现图中标示的“选择”按钮可用。否则，你只有手动填写，并有可能出现验证问题。
点选“选择”按钮，在弹出的对话框中选择证书颁发机构。确定。并在“好记名称”对话框中填上你认为的好记的称便可。然后，点“完成“按钮。
4、下图所示是创建完成后的证书申请属性的“详细信息“界面。
三、在SSTP VPN服务器安装RRAS角色，并配置其为VPN和NAT服务器。
在WINDOWS SERVER 2008 R2里，路由和远程访问服务器安装方法和之前的WINDOWS系统有所不同，它作为一项角色服务包含在“网络策略和访问服务”角色中。而“网络策略和访问服务”提供网络策略服务器（NPS）、路由与远程访问、健康注册颁发机构（HRA）和主机凭据授权协议（HCAP），这些都有助于网络的健康和安全。
在此次实验中，本不需要NAT 服务器角色的，为何，不但要把此SSTP VPN服务器做为VPN服务器，还要实现其NAT的功能呢？前面已讲到，SSL VPN客户端需要下载CRL，这时的NAT功能就是起到转发此通讯流量至内部网络的AD CA服务器上。否则,SSTP VPN服务器连接将失效。
同时，为了能访问内部网络的CRL，不但要配置SSTP VPN服务器做为NAT服务器，还要在通过NAT来发布CRL（也许，在生产环境中，你需要通过一个防火墙来发布此CRL）。
1、打开服务器管理器，并展开“角色”项。点右侧面板的“添加角色”按钮。在弹出的“选择服务器角色”窗口中，选择“网络策略与访问服务”。下一步：
2、在弹出的“选择角色服务”窗口中，选择“路由和远程访问服务”，并确保“远程访问服务”、“路由”两项被选定。并点下一步，直至完成此角色的安装。
3、完成安装后，展开“角色”、“网络策略和访问服务”，右键选择“配置并启用路由和远程访问”。
4、在“路由和远程访问服务欢迎向导”界面，点下一步。
5、在弹出的“配置”界面，在“虚拟专用网络（VPN）和NAT”打上对勾。下一步：
6、在“VPN连接”界面，选择名称为“外网”的网卡，下一步：
7、在接下来的界面中选择“来自一个指定的地址范围”，并下一步，在“地址范围分配”界面，输入新的地址范围，并确定后，下一步:
8、在“管理多个远程访问服务器”界面，由于没有内部的RADIUS服务器，此处选择第一项“否，使用路由和远程访问来对连接进行身份验证”。下一步：
9、在“正在完成路由和远程访问服务服务器安装向导”界面，点完成，并在弹出的消息对话框中点”OK”。
10、完成配置后，展开至“端口”处，并下拉右侧按钮至中间，此时，可以看到SSTP已创建。
四、配置NAT服务器以发布CRL（证书吊销列表）
为了能使SSL VPN客户端下载到CRL，就需要配置NAT服务器，以发布位于内部的AD CA服务器上的CRL。
1、 展开“路由各远程访问”至“NAT”项，在右侧的面板中，右键单击“外网”，选属性：
2、在“WAI属性”界面中，移动鼠标至“服务和端口”项，并找到“WEB服务器（HTTP）”，点选后，会弹出“编辑服务”界面，在“专用地址”对话框中，填入内部的AD CA服务器的IP地址:59.65.232.199,并两次确定后，完成此次操作。
此处注意的是考虑到是实验环境，需要在SSL VPN客户端的主机文件中添加上针对此次发布的DNS A记录项。
了这篇文章
类别：未分类┆阅读(0)┆评论(0)
17:44:28 20:53:14 09:11:37 22:35:56 19:29:10 10:58:16Windows Server 2008 R2 的使用方法 Windows Server 2008 R2 的使用方法 - 小小知识站
Windows Server 2008 R2 的使用方法 Windows Server 2008 R2 的使用方法
描述：1、2008的开机密码设置 由于2008是服务器系统，它的安全性高于个人桌面操作系统，在开机系统密码设置上，很多人都不能通过，其实很简单，2008的密码必须最少由六位字母加数字组成，而且字母还必需包含大小写。举个例子：Ab123456.这个密码2008就可以通过使用了。 2、2008设置自动登录。 具体方法：开始&运行&输入&rundll32 plwiz.dll,UsersRunDll&命令打开帐户窗口，...
&&&&1、2008的开机密码设置 由于2008是服务器系统，它的安全性高于个人桌面操作系统，在开机系统密码设置上，很多人都不能通过，其实很简单，2008的密码必须最少由六位字母加数字组成，而且字母还必需包含大小写。举个例子：Ab123456.这个密码2008就可以通过使用了。 &&&&2、2008设置自动登录。 具体方法：开始&运行&输入&rundll32 plwiz.dll,UsersRunDll&命令打开帐户窗口，先选中要自动登陆的账户，去选&要使用本机，用户必须输入用户名密码&复选框，输入该帐户的密码即可(前提是要关闭UAC)。 &&&&3、2008开启Aero模式 首先安装相应显卡驱动；然后打开服务器管理器&功能摘要&添加功能&选择安装桌面体验。桌面体验安装完后电脑要重启；重启后接着打开服务管理，启动Themes服务，并设置启动类型为自动；最后右键点击桌面&个性化&主题&选择相应的Aero主题。 &&&&4、2008的激活备份方法 &&&&&&（1）备份以下两个文件，同时保存好激活CD-KEY（注意：appdata是隐藏的文件夹） \Windows\System32\licensing\pkeyconfig\pkeyconfig.xrm-ms \Windows\ServiceProfiles\workService\AppData\Roaming\Microsoft\SoftwareLicensing\tokens.dat &&&&&&（2）以后再重装系统，不必输入CD-KEY，也不要连网，找到上面的两个文件，右键点属性&安全&高级&所有者，修改为administrator，关闭窗口，再重新选择高级&权限,修改amdinistator为完全控制，这样就可以删除了。 &&&&&&（3）把Software Licensing服务关掉，用备份的激活文件替换上面的两个文件(如不关掉服务，tokens.dat无法替换） &&&&&&（4）重启计算机，输入激活号，过一会就激活了。此时就可以连网了。 &&&&5、关闭用户账户控制（UAC ）打开控制面板&用户帐户&打开或关闭用户账户控制&取消使用用户账户控制（UAC）帮助保护您的计算机。但是一定要在安装完软件后重新打开它。 &&&&6、取消按 CTRL+ALT+DEL三个键才能登陆系统 打开控制面板&管理工具&本地安全策略&本地策略&安全选项&交互式登陆：无须按CTRL+ALT+DEL&启用。这样我们就把它给关闭了，下次开机就不需要按 CTRL+ALT+DEL三个键了。 &&&&8、关闭关机时出现的关机理由选择项 打开开始菜单&运行gpedit.msc &计算机配置&管理模板&系统&显示&关闭事件跟踪程序&&禁用。 &&&&9、取消2008每次开机的默认共享 将下列内容导入注册表，重启即可(前提是要关闭UAC)。 Windows Registry Editor Version&&&&5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\Parameters] &AutoShareServer&=dword: &&&&10、关闭&IE增强的安全配置& 打开服务器管理器&安全信息&配置IE ESC&弹出窗口中管理员和用户都选择禁用。再次打开网页没有了吧！ &&&&11、声卡驱动安装后，电脑右下角喇叭图标呈关闭状态 打开服务管理，启动Windows Audio服务，并设置启动类型为自动。这样电脑就有声音了。 &&&&12、更改桌面图标的大小 方法和vista、Win7一样：Ctrl＋鼠标滚轮或者桌面右键&查看&经典图标。 &&&&13、察看系统许可信息 直接运行slmgr.vbs -dlv。 &&&&14、应用程序无法运行 我们可以尝试更改数据执行保护设置，控制面板&系统&高级系统设置&高级&性能&设置&数据执行保护&为除下列选定程序之外的所有程序和服务启用DEP，添加该应用程序。 &&&&15、更改用户文档默认存放位置 开始菜单&文档&右键属性&位置选项卡，更改为自定义的路径。 &&&&16、关闭休眠功能和删除休眠文件 桌面右键&个性化&屏幕保护程序&更改电源设置&更改计算机的睡眠时间&使计算机进入睡眠状态设为从不。这样我们就关闭了休眠功能，然后我们再来删除休眠文件：系统盘右键&属性&常规&磁盘清理&选中休眠文件清理器&确定。 &&&&17、实现退出系统时清除最近打开的文档的历史 开始&运行gpedit.msc &用户配置&管理模板&『开始』菜单和任务栏&退出系统时清除最近打开文档的历史，设为已启用就可以了。 &&&&18、快速复制文件、文件夹路径和文件反向选择的快捷键 第一我们按 Shift 键，右键点击需要复制路径的文件、文件夹或快捷方式等，在弹出菜单里面有一项复制为路径(A)，点击后可复制该文件、文件夹路径。 第二我们按ALT＋E弹出菜单后按I这就是文件反向选择的快捷键。 &&&&19、恢复桌面上消失的&计算机&图标 点击桌面右键&个性化&更改桌面图标（左侧）。 &&&&20、关于设置IE浏览器代理 打开IE工具栏的Inter选项&连接&拨号和虚拟专用网络设置中选中您的拨号连接&设置，在&设置&页面中，选中&对此连接使用代理服务器&然后在&地址&栏中填上代理服务器地址和端口，单击&确定&。 2&&&&1、启用摄像机，摄像头或者扫描仪等设备 启动Windows Image Acquisition (WIA) 服务，并设置启动类型为自动。 2&&&&2、打开显卡的硬件加速 桌面右键&个性化&显示设置&高级设置&疑难解答&更该设置&硬件加速&完全。然后运行dxdiag，打开显示选项卡，会发现DirectX功能已经全部启用了。 2&&&&3、开启ICF后局域网内机器实现互访办法 控制面板&Windows防火墙&取消阻止所有传入连接，并在&例外&中选中&文件和打印机共享&。 2&&&&4、局域网不能互访的问题解决办法 &&&&&&（1）本地连接&右键属性&取消Inter协议版本6，缩短验证时间。 &&&&&&(2)检查各机器所属工作组名称是否一致。 &&&&&&(3)检查机器IP是否在同一网段，如192.168.1.X。 &&&&&&(4)将网络和共享中心&网络连接&自定义&位置类型设置为专用，降低保护。 &&&&&&(5)将网络和共享中心&共享和发现&网络发现启用，文件共享启用，密码保护的共享关闭。 2&&&&5、把开始菜单电源按钮默认设定为&关机&更改为&休眠& 控制面版&电源选项&选中的&首选计划&&更改计划设置&更改高级电源设置，在弹出的设置窗口中找到&电源按钮和盖子&&&开始&菜单电源按钮&设置&休眠，确定即可。 2&&&&6、退出系统时清除最近打开的文档的历史 开始&运行gpedit.msc &用户配置&管理模板&『开始』菜单和任务栏&退出系统时清除最近打开文档的历史，设为已启用就可以了。
分享给小伙伴们：
主题：Windows Server 2008 R2 的使用方法
描述：1、2008的开码设置 由于2008是器系统，它的高于个人桌面作系统，在开机系统设置上，很多人都不能通过，其实很简单，2008的必须最少由六位字母加数字组成，而且字母还必需包含大小写。举个例子：Ab123456.这个2008就可以通过使用了。 2、2008设置自动登录。 具体方法：开始&运行&输入&rundll32 plwiz.dll,UsersRunDll&命令打开帐户窗口，...
主题：Windows Server 2008 版 激活方法
描述：最近觉得自己从一就用Windows 2003实在是没意思，为什么不试试Vista或Windows 2008呢，如果有人有这些系统的问题请教，我也可以帮的上忙呀。 我的感觉是 Windows 2003比Windows XP好，那想当然的，Windows 2008肯定比Vista好喽，之前也总听人说Vista不好，所以呀，就用Windows 2008喽，要用当然要用版的了。 在2003机器上用虚拟光驱加载Windows 2008镜像，然后安装，安装过程中不会让输入...
主题：s server core开启远程桌面的方法
描述：...到的Server
Core,依然是个以命令列窗口为主的环境。结语：通过以上两个步骤，就可以开启s server core远程桌面
主题：如何避免在Windows Server 2012中使用GUI
描述：Windows 8和Windows Server 2012中那&划时的界面&最让系统管理员更加烦恼的了。这种现UI对于器界面来说可能是件好事，它会让事情变得简单，但这是否有益仍然存在着很多争论。几乎没有管理员喜欢使用，他们需要的是如何利用它来进行。对于管理员来说，他们眼中的系统界面（UI）应该是：简单实用。而我们耳熟能详的桌面和命令行界面，...
主题：s server 2003去掉IE信任站点提示的方法
描述：...控制面板，在打开的控制面板窗口中，用鼠标双击添加或删除程序图标，然后点击添加和删除Windows组件将界面切到添加和删除Windows组件页面;2、选中Inter Explorer增强的配置选项，将它前面方格内的勾去除，然后单击下一步按钮，就能将该选项从系统中删除了;3、再单击一下完成按钮，组件删除提示窗口。 以后，再上网的时候，IE就不会自动去的了，这样...
主题：Windows 2003 server R2 的IIS上配置Webdav
描述：...用ftp或者协议进行。但是利用一般只是单向的共享，不便于上传，传统地会使用ftp。但是s
server还可以利用webd(web-based distributed authoring and
versioning，基于web的分布式创作和版本控制)来进行共享。webd是基于
1.1 的一个通信协议。它为
1.1 添加了一些扩展(就是在 get、post、head 等几个
标准方法以外添加了一些新的方法)，使得应用程序可以直接将写到 web server
05-3005-3005-3005-3005-30
08-0509-0509-0108-2508-21
也许你感兴趣用户名：王春海
文章数：493
评论数：5259
访问量：9766357
注册日期：
阅读量：1297
阅读量：3317
阅读量：581866
阅读量：466438
51CTO推荐博文
1 单服务器主机托管解决方案（Windows 2003+ISA+VMware Server）
有一些单位在电信、网通或其他运营商的机房，放置了一台服务器进行托管，这些服务器一般会获得一个公网IP，并且用“主机头名”的方法，放置多个网站或论坛。
对于大部分人来说，如果只放一个网站，那么将服务器安装个Windows Server 2003或Linux，直接放网站就可以了。对于有些用户来说，需要放置多个网站，而这些网站中，有的是一些个人网站，有的是企业的网站。当网站的“来源”不一的时候，可能有的网站代码有“漏洞”，有的可能在这样、那样的问题，这样，如果所有的网站还像以前一样，都放在同一个服务器中，就可能被黑客通过“跨站攻击”的方式，修改同一服务器上的其他网站，甚至入侵整个系统。
为了解决这个问题，我曾经提出过一个解决方案，主机安装32位Windows Server 2003企业版（最多可以支持8GB内存），在主机上安装ISA Server 2006标准版与VMware Server 1.x版本，并在VMware Server中安装多个虚拟机。将网站分类，将不太重要的网站放在一个虚拟机中，将重新的网站单独放在别的虚拟机中，并且用ISA Server发布VMware Server虚拟机中的网站，这样达到了使用1台服务器、1个公网地址而实现了需要多台托管服务器才能解决的问题，并且提高了网站的安全性。这个方案，在很长的一段时间内使用，证明是非常成功的。2 以前方案存在的问题
但现在计算机的发展越来越快，而用户需要放置的网站越来越多，这时候就需要更多的虚拟机，并且需要虚拟机具有更高的性能。但使用ISA Server加VMware Server的方案，有个“先天不足”的地方就是，当时ISA Server只能安装在32位的Windows Server 2003中，而32位的Windows Server 2003，最多只能使用8GB的内存，这是其一；其二，VMware Server虚拟机提供的性能，并不能让人满意（VMware ESX Server提供的虚拟机性能是很好的）。
在几年前，一个朋友的服务器（8GB内存、1个4核CPU、5块320GB硬盘做的RAID 5）托管在电信机房，使用的就是我提供的Windows Server 2003+ISA Server+ VMware Server的解决方案。随着这几年来服务器中网站的数量增加，网站访问量的增大，感觉到这种方案已经不适合现在的需求。3 Windows Server 2008+TMG2010+Hyper-V Server不能共存
当Windows Server 2008发布的时候，其集成的Hyper-V Server虚拟机，经过测试，性能可以满足要求。同时Windows Server 2008可以支持更多的内存。但ISA Server 2006并不能在Windows Server 2008下运行，只能等ISA Server的下一个版本。虽然Windows Server 2008早已发布，但ISA Server 2006的下一个版本TMG2008直到2009年底才发布，发布时名称也改为了TMG2010，这个产品必须要64位的硬件、Windows Server 2008操作系统的支持。
那这样好了，那是不是可以借鉴Windows Server 2003+ISA Server 2006+VMware Server 1.x的经验呢？主机安装Windows Server 2008 R2+TMG2010+Hyper-V Server，让Hyper-V Server实现虚拟机用TMG2010转发呢？想法是美好的，但现实是残酷的，经过我的实验，这个方法是完全行不通的。4 解决思路
现在来看条件与需求：单台托管的高性能物理服务器，使用Hyper-V虚拟机实现多台服务器。需要让每台虚拟机对外提供服务并能让用户远程管理。
要实现这个功能，简单来说，有两种方法：多IP地址方法与单IP地址方法。4.1 多IP地址实现方法
主机安装Windows Server 2008 R2，并启用Hyper-V Server功能，创建多个虚拟机，每个虚拟使用一个公网的IP地址，每个用户可以使用“远程桌面”连接到其所在的虚拟机。这样可以保证每个虚拟机的独立性，而Hyper-V Server虚拟机的性能也足以满足需要。
例如：托管的服务器有1块网卡，具有一个公网地址。使用Hyper-V可以创建多个虚拟机，每个虚拟机给一个或多个用户使用。而每个用户主要是在托管的服务器上提供网站服务。而在只有一个公网IP地址的前提下，“路由和远程访问服务”是不能将网站服务所需要的默认端口TCP的80同时转发到多个不同的内网地址的。这时候，就需要借助域名服务中的URL转发功能。由于这个思路比较简单，所以不展开介绍。4.2 单IP地址端口法
但是，IP地址虽然“不值钱”，托管服务器的人也“不差钱”，但IP地址并不是想要多少就有多少的，所以，许多时候只能使用1个公网IP地址。
要想使用1个公网地址，而又在此公网地址“之后”有多个虚拟机，每个虚拟机中又有多个网站，那必须需要一个类似ISA Server（现在称作TMG）的程序，进行“主机头名”或者“TCP端口”转发，才能实现多网站。而Windows Server 2003、Windows Server 2008中的“路由与远程访问服务”是可以实现TCP端口的转发功能的。
但是，虽然使用1个公网IP+多TCP端口实现多个网站，但采用“端口法”的网站，人们在访问的时候，还要键入相应的端口才能访问，例如:8001等，这样一来，不利于网站的推广，也不利于用户记住网站。对于这个问题，可以使用某些商业DNS的URL转发功能解决。例如，对于刚刚提到的网站:8001，完全可以将对站点的访问，通过URL转发功能，转发到:8001，目前许多DNS提供了这个功能。
如果你的网站没有进行备案，目前许多DNS服务器是不允许使用URL转发的，这时候，就可以由IIS中的“网站重定向（HTTP跳转）”功能，将对的访问转到:8001的网站。
下面将介绍这个思路的实现的步骤。5 单公网IP地址、单Windows Server 2008托管服务器、多虚拟机解决方案
Windows Server 2008集成了Hyper-V Server与“路由和远程访问服务”，借助于这两个服务，可以将托管在电信机房的一台服务器，当成多台服务器使用，并对外提供服务。关键点如下：
ü 使用Hyper-V Server创建多个虚拟机，并让虚拟机使用“虚拟网络”
ü 使用“路由和远程访问服务”，采用“端口映射”功能，将主机的（外网）端口转发到需要的虚拟机中。5.1 案例描述
A企业，在电信机房托管1台服务器，获得公网地址一个，假设该地址为123.182.242.12；在这台服务器上，创建了两个虚拟机，分别给B、C两个用户使用。
B用户，获得的虚拟机的IP地址是192.168.10.10。B想要在这个虚拟机中配置三个网站、www.a2.net、www.a3.cc；
C用户，获得的虚拟机的IP地址是192.168.10.11。B想要在这个虚拟机中配置2个网站、www.ccd.net。
则A可以将TCP的801～813等端口映射给192.168.10.10的虚拟机使用，还可以将TCP的800映射给A的“远程桌面”所使用的TCP的3389端口，用于远程桌面管理。在实际分配中，还可以多映射一些端口，将来为用户B添加新网站使用，在本例中，映射了TCP的800～819端口给虚拟机B；将TCP的820～829映射给192.168.10.11的虚拟机，然后再通过相应的URL转发功能，将这些网站的访问重定向到真正的网站地址。如下表所示。
192.168.10.10:801
VM1,192.168.10.10
801～819→192.168.10.10
www.a2.net
192.168.10.10:802
192.168.10.10:803
用户B远程管理
外网800→10.10：3389
192.168.10.11:821
192.168.10.11
821～829→192.168.10.11
www.ccd.net
192.168.10.11:822
用户C的远程管理
外网820→10.11：3389
下面介绍实现的主要步骤。5.2 Hyper-V Server处设置
管理员A登录到托管的主机（安装的Windows Server 2008 X64+Hyper-V Server），进入“Hyper-V管理程序”，进行如下的操作：
（1）在Hyper-V中添加名为“内部网络”的虚拟网络，该虚拟网络的“连接类型”为“仅内部”，如图1所示。
图1 添加“仅内部”网络的虚拟网卡
添加之后，打开主机的“网络连接”，设置“内部网络”虚拟网卡的IP为192.168.10.1。
（2）为B、C用户创建的两台虚拟机，分配虚拟网卡时，使用图1中添加的“内部网络”的虚拟网卡，如图2所示。
图2 为虚拟机分配内部网卡
（3）进入B用户的虚拟机，设置IP地址为192.168.10.10、网关地址为192.168.10.1的IP地址，如图3所示。同样，对于C用户的虚拟机，设置IP地址为192.168.10.11，网关地址为192.168.10.1。
图3 为用户虚拟机设置IP地址、网关地址
（4）在Windows Server 2008主机上，添加“路由和远程访问服务”（如图4所示），此时主机外网IP是123.182.242.12；内网IP地址是192.168.10.1。
图4 添加“路由和远程访问服务”
（5）参照表1的要求，映射TCP的800～819到192.168.10.10的IP地址，映射TCP的820～829到192.168.10.11的IP地址。在映射的时候，“传入端口”与“传出端口”可以一样，也可以不一样。这可以根据自己的爱好，或者规定好的设置。其中，“传入端口”指的是公网的IP地址所使用的端口，是对Internet用户所公布的、允许Internet用户访问的端口，在此就是表1所规划的TCP的800～819；而“传出端口”指映射到的“专用地址”中的服务端口。例如，将TCP的800映射到192.168.10.10的3389端口(如图5所示)，对于Internet中的用户来说，可以通过使用“远程桌面连接程序”连接“公网地址”与800端口，连接到B虚拟机的远程桌面。再举一例，假设将TCP的801映射到192.168.10.10的801，则可以在B的虚拟机中，创建IIS网站，该网站保存的站点内容，该网站使用TCP的801端口，而不是使用TCP的80端口。这样，Internet的用户，可以通过访问http:// 123.182.242.12:801访问的内容。
图5 映射端口到指定的内网计算机5.3 用户B的操作
用户B，使用远程桌面，登录123.182.242.12：800到虚拟机中，添加IIS服务，创建三个网站，其中网站使用TCP的801端口（如图6所示），www.a2.net使用TCP的802端口，www.a3.cc网站使用TCP的803端口。这样就达到了创建多个网站的目的。
图6 使用TCP的801端口创建的网站
而用户C的操作与此类似：登录123.182.242.12：820到虚拟机中，在IIS中，创建两个网站，网站使用TCP的821端口，www.ccd.net使用TCP的822端口。5.4 远程测试
登录到远程的一台服务器，或者让Internet的用户，在IE中浏览http://123.182.242.12:801打开B虚拟机中的的网站，如图7所示。
图7 在外网打开虚拟机B的网站5.5 用户DNS管理处
如果用户认为，http://123.182.242.12:801访问不容易“记住”，则可以采用DNS提供的“URL转发申请”功能，将用户对的访问，转到:801，这样比较符合大家的习惯。
不同的域名服务商，提供的URL转发功能不太一样，但都是在其提供的“DNS管理处”进行的设置，如图8、图9所示，这是将对的访问转发到http://rms.heuet.org:8001。
图8 URL转发申请
图9 URL转发设置
【说明】当然在提供这些功能的时候，需要在DNS管理处，将的A记录解析为托管的Windows Server 2008主机的公网的IP地址，在本例中为123.182.242.12。5.6 使用IIS转发
如果DNS不支持“URL转发”的功能，或者你的域名没有通过“备案”，则不能提供URL转发申请，这时候，就可以利用IIS的“HTTP转发”功能，将对的访问转发到:801，此时，需要进行如下的操作（需要管理员A进行设置）。
（1）管理员A在Windows Server 2008主机上安装“Internet信息服务”，在安装的时候，要安装“HTTP重定向”功能（如图10所示）以及安装“IIS管理工具”。
图10 安装IIS并安装HTTP重定向功能
（2）在主机上，创建一个文件夹，并且在该文件夹创建多个目录，为了方便日后管理，目录的名称要与B、C用户的网站的名称相同或相似，例如，在D盘site目录中创建、www.aa.net目录。
（3）进入“Internet信息服务器”中，创建网站，其主机头为，目录为D盘对应的文件夹，本例为d:\site\，如图12所示。
图12 创建网站
（4）然后在“Internet信息服务管理器”中，选择新创建的网站，在右侧的“功能视图”中双击“HTTP重定向”， 选中“将请求重定向到此目标”，并且键入重定向后的网址:801，并且在“状态代码”下拉列表中选择“永久（301）”，然后单击右侧的“应用”链接，让设置生效，如图13所示。
图13 重定向到真正的网站
（5）在远程计算机上，在浏览器中键入的时候，会被定向到:801，测试完成，如图14所示。
图14 在远程主机上测试
【说明】因为aa.com是本次实验的域名，所以在你真正测试的时候，需要修改远程测试主机与Windows Server 2008本地主机的hosts文件，添加到的解析到正确的公网地址：
123.182.242.12
这样才能完成整个测试。
而对于其他的需要转发的网站，在主机的“Internet信息服务管理器”中，创建每一个的“HTTP重定向”，这些就不一一介绍了。本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：┆阅读(0)┆评论(0)
11:39:57 15:30:36 08:38:21 15:45:08 09:51:36 12:10:24 13:55:41 21:02:34 21:05:03 19:34:17 11:37:25 15:46:56 09:53:31 09:53:58 23:12:33 16:31:09 14:31:28 19:28:43 21:58:56 20:31:06 &&1&
&&页数 ( 1/2 ) &}