网络服务器配置与管理Windows Server 2012 R2篇—第9章.pptx

《网络服务器配置与管理Windows Server 2012 R2篇—第9章.pptx》由会员分享，可在线阅读，更多相关《网络服务器配置与管理Windows Server 2012 R2篇—第9章.pptx（93页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1 第9章 路由和远程访问服务网络服务器配置与管理Windows Server 2012 R2篇工业和信息化精品系列教材网络技术第9章 路由和远程访问服务人民邮电出版社2 第9章 路由和远程访问服务能力CAPACITY要求了解路由和远程访问，能够配置并启用路由和远程访问服务。了解路由和NAT技术，掌握配置IP路由和配置NAT的方法。熟悉VPN基础知识，学会部署远程访问VPN和远程网络互联VPN。熟悉NPS网络策略的使用，掌握RADIUS服务器的部署方法。了解DirectAccess远程访问技术。3 第9章 路由和远程访问服务内容CONTENTS导航IP路由配置NAT配置路由和远程访问基础部署V

2、PNNPS网络策略配置与使用部署DirectAccess远程访问4 第9章 路由和远程访问服务9.1 路由和远程访问基础路由和远程访问服务简介RRAS路由和远程访问。路由和远程访问是两个独立的网络功能。DirectAccess是一种全新的远程访问功能，可以实现到企业网络资源的连接。Windows Server 2012 R2将DirectAccess和RRAS合并到同一个名为“远程访问”的服务器角色之中。RRAS还可以用作路由和网络连接的软件路由器和开放平台。5 第9章 路由和远程访问服务9.1 路由和远程访问基础安装远程访问角色阶段一：完成角色的安装远程访问功能安装完成选择远程访问角色服务6

3、 第9章 路由和远程访问服务9.1 路由和远程访问基础安装远程访问角色阶段二：部署后配置路由和远程访问控制台配置远程访问7 第9章 路由和远程访问服务9.1 路由和远程访问基础配置并启用路由和远程访问服务RRAS可以充当多种服务器角色，这取决于具体的配置。打开路由和远程访问控制台，右键单击服务器节点，从快捷菜单中选择“配置并启用路由和远程访问”命令，启动RRAS安装向导。单击“下一步”按钮，出现图9-5所示的对话框，从中选择要配置的项目。该向导提供了4种典型配置和1项自定义配置。选中其中任何一种典型配置，向导会引导管理员进行详细配置。不过典型配置只适合一种类型的服务配置。要使用任何可用的路由和

4、远程访问服务功能，可选择自定义配置。这里示范一下选择自定义配置的情况。管理员可以从服务类型中选择一种或同时选择多种，向导会安装必要的RRAS组件来支持所选的服务类型，但不会提示需要任何信息来设置具体选项，这些任务管理员随后在路由和远程访问控制台中进行配置。例如，勾选“LAN路由”复选框，如图9-6所示，单击“下一步”按钮，出现相应的对话框，提示路由器设置完成，单击“完成”按钮，弹出相应的提示对话框，询问是否开始服务，单击“是”按钮即可。图9-5 图9-6 自定义配置在路由和远程访问控制台中执行“禁用路由和远程访问”命令，将删除当前的路由和远程服务配置。只有需要重新配置路由和远程访问时，才需执行

5、该命令，再根据向导配置并启用路由和远程访问服务。本章涉及多种路由和远程访问方案的配置实验，可以利用这一点来快速转换配置。在实现新的方案时，先禁用路由和远程访问以清除原方案的配置，再使用向导配置新的方案。路由和远程访问作为服务程序运行，如果配置并启用了路由和远程访问，可以在路由和远程访问控制台中右键单击服务器节点，从“所有任务”的子菜单中选择相应的命令来停止或重新启动该服务。通过向导配置路由和远程服务之后，要修改已有配置选项，或者增加新的服务类型时，都需要在路由和远程访问控制台中进行手动设置。如图9-7所示，路由和远程访问控制台采用的是传统的两栏结构，左边窗格是树状结构的导航，右侧窗格是详细窗格

6、。作为重要的控制中心，该控制台管理着路由和远程访问服务的大部分属性。除了配置端口和接口之外，该控制台还可以用来设置协议、全局的选项和属性以及远程访问策略。8 第9章 路由和远程访问服务9.1 路由和远程访问基础配置并启用路由和远程访问服务自定义配置选择配置项目9 第9章 路由和远程访问服务9.1 路由和远程访问基础配置并启用路由和远程访问服务路由和远程访问控制台主界面10 第9章 路由和远程访问服务内容CONTENTS导航IP路由配置NAT配置路由和远程访问基础部署VPNNPS网络策略配置与使用部署DirectAccess远程访问11 第9章 路由和远程访问服务9.2 IP路由配置IP路由与路

7、由器IP路由原理路由器是在互联网络中实现路由功能的主要节点设备。路由器至少有两个网络接口，同时连接到至少两个网络。支持TCP/IP的路由器称为IP路由器。12 第9章 路由和远程访问服务9.2 IP路由配置IP路由表路由器凭借路由表来确定数据包的流向。除了路由器使用路由表之外，网络中的主机也使用路由表。路由表中的表项一般包括目的地址、转发地址、接口和跃点数等信息。13 第9章 路由和远程访问服务9.2 IP路由配置IP路由表路由表结构目标（目的地址）网络掩码网关接口跃点数路由表项网络路由到特定网络ID的路由。主机路由到特定IP地址，即特定主机的路由。默认路由若在路由表中没有找到其他路由，则使用

8、默认路由。特殊路由。14 第9章 路由和远程访问服务9.2 IP路由配置启用Windows Server 2012 R2路由器首次配置路由和远程访问服务，可以利用向导启用路由器。如果已经配置路由和远程访问服务，在路由和远程访问控制台中通过服务器属性对话框配置。15 第9章 路由和远程访问服务9.2 IP路由配置配置静态路由静态路由概述静态路由是指由网络管理员手动配置的路由信息。静态路由优点完全由管理员精确配置，网络之间的传输路径预先设计好。路由器之间不需进行路由信息的交换，相应的网络开销较小。网络中不必交换路由表信息，安全保密性高。静态路由缺点因网络变化而发生的路由器增加、删除、移动等，其无法

9、自动适应。必须为每台路由器计算出指向每个网段的下一个跃点。16 第9章 路由和远程访问服务9.2 IP路由配置配置静态路由静态路由概述最简单的路由方案：一个路由器连接两个网络17 第9章 路由和远程访问服务9.2 IP路由配置配置静态路由配置静态路由跨多个路由器通信的路由网络18 第9章 路由和远程访问服务9.2 IP路由配置配置静态路由配置静态路由配置路由器查看SRV2012DC上的IP路由表设置到子网C的静态路由19 第9章 路由和远程访问服务9.2 IP路由配置配置静态路由配置静态路由配置路由器查看SRV2012A上的IP路由表设置到子网B的静态路由20 第9章 路由和远程访问服务9.2

10、 IP路由配置配置静态路由配置静态路由配置主机配置网络上其他计算机（非路由器）的IP地址、子网掩码和默认网关。将其默认网关设置为与路由器连接的网卡的IP地址。路由网络中的每台计算机应设置默认网关。21 第9章 路由和远程访问服务9.2 IP路由配置配置动态路由动态路由概述动态路由通过路由协议在路由器之间相互交换路由信息，自动生成路由表，并根据实际情况动态调整和维护路由表。动态路由的主要优点伸缩性和适应性，具有较强的容错能力。动态路由的主要缺点复杂程度高，频繁交换的路由信息增加了额外开销。主流的路由协议BGPEIGRPEGPIGRPOSPFRIP22 第9章 路由和远程访问服务9.2 IP路由配

11、置配置动态路由了解RIPRIP属于距离向量路由协议，主要用于在小型到中型互联网络中交换路由选择信息。RIP只是同相邻的路由器互相交换路由表。RIP目前有两个版本：RIP版本1和RIP版本2。RIP路由器之间交换路由表（箭头表示交换方向）23 第9章 路由和远程访问服务9.2 IP路由配置配置动态路由配置RIP动态路由RIP路由设置的基本步骤与静态路由设置相似，只是RIP路由设置时要在路由器上添加RIP路由协议，添加并配置RIP路由接口。参照静态路由设置，在要充当路由器的Windows Server 2012 R2服务器上安装和配置网卡，并启用路由功能和IP路由功能。这里只需在上述静态路由配置示

12、例的基础上将两个服务器上的静态路由都删除。先在路由器1（SRV2012DC服务器）上执行以下操作。（1）添加RIP路由协议。打开路由和远程访问控制台，展开“IPv4”节点，右键单击“常规”节点，从快捷菜单中选择“新增路由协议”命令，弹出“新路由协议”对话框，如图9-18所示。（2）单击要添加的协议（用于Internet协议的RIP版本2），然后单击“确定”按钮。“IPv4”节点下面将出现“RIP”节点。（3）再添加RIP接口，将路由器的网络接口配置为RIP接口。右键单击“RIP”节点，从快捷菜单中选择“新增接口”命令，弹出图9-19所示的对话框，从中选择要配置的接口，单击“确定”按钮。图9-1

13、8 添加RIP路由协议 图9-19 添加RIP接口（4）出现图9-20所示的对话框，配置RIP接口。这里采用默认值，单击“确定”按钮即可。还可根据需要切换到其他选项卡，设置该接口的其他属性。（5）添加并配置其他RIP接口。这里将两个接口都设置为RIP接口。（6）参照上述步骤，在每个充当路由器的计算机上进行上述操作，完成RIP路由配置。这里在路由器2（由SRV2012A充当）上执行类似的操作。可在路由和远程访问控制台中查看现有的RIP接口和自动生成的路由信息。在SRV2012A服务器上单击“IPv4”节点下的“RIP”节点，可查看当前RIP接口的发送和响应次数，如图9-21所示；右键单击“静态路

14、由”项并选择“显示IP路由表”命令，查看当前路由信息，其中部分路由表项的通信协议显示为“翻录”（实际上应当是RIP，此处应系中文版翻译错误）。图9-20 配置RIP接口 图9-21 查看当前RIP接口和IP路由表除了采用默认的RIP设置，用户还可根据需要进一步设置RIP。主要是设置每个RIP接口的属性，也可设置RIP的全局属性。在网络的每台主机上配置相应的IP地址，设置相应的默认网关。使用ping和tracert命令在不同网络之间测试。24 第9章 路由和远程访问服务9.2 IP路由配置配置动态路由配置RIP动态路由添加RIP接口添加RIP路由协议25 第9章 路由和远程访问服务9.2 IP路

15、由配置配置动态路由配置RIP动态路由查看当前RIP接口和IP路由表配置RIP接口26 第9章 路由和远程访问服务内容CONTENTS导航IP路由配置NAT配置路由和远程访问基础部署VPNNPS网络策略配置与使用部署DirectAccess远程访问27 第9章 路由和远程访问服务9.3 NAT配置NAT技术SNAT技术 SNAT源网络地址转换。SNAT主要用于共享IP地址和网络连接。28 第9章 路由和远程访问服务9.3 NAT配置NAT技术DNAT技术DNAT目的网络地址转换。DNAT主要用来让内部服务器对外提供服务，如对外发布Web网站。29 第9章 路由和远程访问服务9.3 NAT配置通过

16、NAT实现Internet连接共享设置NAT服务器要将Windows Server 2012 R2服务器配置为NAT路由器，利用RRAS安装向导非常方便，只要选择“网络地址转换（NAT）”选项，根据提示逐步完成网络地址转换的所有配置即可。不过手动设置则更加灵活实用。下面介绍具体的设置步骤。这里直接在上述动态路由示例的基础上进行实验，先删除RIP。（1）分别为NAT服务器（例中为SRV2012DC）的专用接口（本例为Ethernet1）和公用接口（本例为Ethernet0）配置IP地址。注意专用接口不用设置默认网关。为方便实验，这里的公用接口采用局域网连接进行模拟。实际应用中，公用接口可能使用拨

17、号连接，步骤要复杂一些，需要在路由和远程访问控制台中配置相应的请求拨号接口，并配置默认路由（根据ISP要求）。（2）添加NAT路由协议。这里已经配置了路由和远程访问服务，在路由和远程访问控制台中展开“IPv4”节点，右键单击其中的“常规”节点，选择“新增路由协议”命令，单击要添加的协议“NAT”，然后单击“确定”按钮。（3）为NAT添加公用接口。右键单击“IPv4”节点下的“NAT”节点，在快捷菜单中选择“新增接口”命令，弹出相应的对话框，如图9-25所示。从接口列表中选择要连接外网的接口，这里为Ethernet0接口，单击“确定”按钮。（4）出现图9-26所示的对话框，选中“公用接口连接到I

18、nternet”单选按钮并勾选“在此接口上启用NAT”复选框，单击“确定”按钮。图9-25 添加NAT接口 图9-26 设置公用接口（5）为NAT添加专用接口（内网接口）。右键单击NAT节点，在快捷菜单中选择“新增接口”命令，选择要连接内网的接口，这里为Ethernet1，单击“确定”按钮，弹出相应的对话框，选中“专用接口连接到专用网络”单选按钮，再单击“确定”按钮。至此，SNAT基本功能已经实现。管理员还可以根据需要启用NAT寻址功能来提供DHCP服务，启用NAT名称解析功能来提供DNS服务。需要注意的是，一旦启用了NAT的寻址功能，就不能在NAT服务器上运行DHCP服务或DHCP中继代理；

19、一旦启用了NAT的名称解析功能，就不能在NAT服务器上运行DNS服务。这里的SRV2012DC服务器作为域控制器，本身已经启用DHCP和DNS服务，不需要再启用这两项功能。30 第9章 路由和远程访问服务9.3 NAT配置通过NAT实现Internet连接共享通过NAT服务器共享网络连接（局域网模拟公网）31 第9章 路由和远程访问服务9.3 NAT配置通过NAT实现Internet连接共享设置NAT服务器设置公用接口添加NAT接口32 第9章 路由和远程访问服务9.3 NAT配置通过NAT实现Internet连接共享配置NAT客户端查看NAT映射信息NAT客户端网卡设置33 第9章 路由和远

20、程访问服务9.3 NAT配置让Internet用户通过NAT访问内部服务通过NAT服务器对外发布服务（局域网模拟公网）34 第9章 路由和远程访问服务9.3 NAT配置让Internet用户通过NAT访问内部服务选中要发布的服务添加服务35 第9章 路由和远程访问服务9.3 NAT配置让Internet用户通过NAT访问内部服务查看NAT映射表访问测试36 第9章 路由和远程访问服务内容CONTENTS导航IP路由配置NAT配置路由和远程访问基础部署VPNNPS网络策略配置与使用部署DirectAccess远程访问37 第9章 路由和远程访问服务9.4 部署VPNVPN基础VPN应用模式远程访

21、问远程网络互联38 第9章 路由和远程访问服务9.4 部署VPNVPN基础VPN协议协议名称应用模式穿透能力说明PPTP远程访问与远程网络互联NAT（需支持PPTP）该协议是PPP的扩展，增强了PPP的身份验证、压缩和加密机制。L2TP/IPSec远程访问与远程网络互联NAT（需支持NAT-T）L2TP使用IPSec ESP（封装安全有效荷载）协议来加密数据，L2TP和IPSec的组合称为L2TP/IPSec。SSTP远程访问NAT、防火墙和代理服务器SSTP基于HTTPS创建VPN隧道，通过SSL安全措施来确保传输安全性IKEv2远程访问与远程网络互联NAT（需支持NAT-T）使用Inter

22、net密钥交换版本2（IKEv2）的IPSec隧道模式，支持失去Internet连接时自动重建连接的方式VPN Reconnect39 第9章 路由和远程访问服务9.4 部署VPNVPN基础规划VPN完整的VPN远程访问网络VPN服务器VPN客户端LAN协议远程访问协议隧道协议40 第9章 路由和远程访问服务9.4 部署VPN远程访问服务器基本配置启用远程访问服务器可以使用RRAS安装向导配置并启用远程访问服务器。如果已配置RRAS其他服务并要保持现有配置，则可手动启用远程服务器。41 第9章 路由和远程访问服务9.4 部署VPN远程访问服务器基本配置设置远程访问协议远程访问协议用于协商连接并

23、控制连接上的数据传输。Windows Server 2012 R2服务器支持的远程访问协议是PPP。Windows Server 2012 R2服务器只能接受PPP方式的连接。42 第9章 路由和远程访问服务9.4 部署VPN远程访问服务器基本配置设置LAN协议LAN协议用于远程访问客户端与服务器及其所在网络之间的网络访问。TCP/IP是最流行的LAN协议。限制远程客户访问的网络范围向远程客户端分配IP地址在“适配器”列表中指定远程客户端获取IP参数的网卡43 第9章 路由和远程访问服务9.4 部署VPN远程访问服务器基本配置设置身份验证和记账功能设置身份验证方法设置身份验证和记账44 第9章

24、 路由和远程访问服务9.4 部署VPN远程访问服务器基本配置配置远程访问用户拨入属性客户端获得授权访问的过程远程访问客户端提供用户凭据尝试连接到远程访问服务器。远程访问服务器根据用户账户数据库检查并进行响应。如果用户账户有效，而且所提交的身份验证凭据正确，则远程访问服务器使用其拨入属性和网络策略为该连接授权。如果是拨号连接，还启用了回拨功能，则服务器将挂断连接再回拨客户端，然后继续执行连接协商过程。设置用户账户的拨入属性45 第9章 路由和远程访问服务9.4 部署VPN部署远程访问VPN用于VPN远程访问的模拟实验环境46 第9章 路由和远程访问服务9.4 部署VPN部署远程访问VPN配置并启

25、用VPN服务器选择IP地址分配方式指定VPN连接47 第9章 路由和远程访问服务9.4 部署VPN部署远程访问VPN配置并启用VPN服务器查看RRAS设备和端口配置DHCP中继代理48 第9章 路由和远程访问服务9.4 部署VPN部署远程访问VPN配置远程访问权限必须为VPN用户授予远程访问权限。此授权由用户账户拨入属性和网络策略设置共同决定。设置网络访问权限49 第9章 路由和远程访问服务9.4 部署VPN部署远程访问VPN配置VPN客户端添加VPN连接VPN设置50 第9章 路由和远程访问服务9.4 部署VPN部署远程访问VPN测试VPN连接设置用于VPN连接的用户账户信息51 第9章 路

26、由和远程访问服务9.4 部署VPN部署远程访问VPN测试VPN连接查看连接状态详细信息查看VPN连接状态52 第9章 路由和远程访问服务9.4 部署VPN部署远程访问VPN在远程访问VPN中使用其他VPN协议部署L2TP/IPSec VPNRRSA在L2TP/IPSec身份验证中提供了预共享密钥支持，无须计算机证书。如果要部署基于计算机证书的L2TP/IPSec VPN，VPN服务器与VPN客户端都需要申请安装计算机证书，至少需要一个证书颁发机构来部署PKI。部署SSTP VPN 必须在VPN服务器上安装正确配置的计算机证书，且计算机证书必须具有“服务器身份验证”或“所有用途”增强型密钥使用属

27、性。VPN客户端并不需要安装计算机证书，但要安装颁发服务器身份验证证书的CA的根CA证书。部署IKEv2 VPN VPN服务器需要安装正确配置的计算机证书，安装目的为服务器验证和“IP安全IKE中级”的证书。VPN客户端可以不需要计算机证书，但需要信任由CA颁发的证书。53 第9章 路由和远程访问服务9.4 部署VPN部署远程网络互联VPN配置总部VPN路由器在SRV2012DC服务器上执行以下操作。前面示范时已配置有路由和远程访问服务，运行向导前需要先禁用路由和远程访问。（1）打开路由和远程访问控制台，启动路由和远程访问服务安装向导，选择“两个专用网络之间的安全连接”项。（2）单击“下一步”

28、按钮，出现对话框，提示是否使用请求拨号连接，选中“是”。（3）单击“下一步”按钮，出现“IP地址分配”对话框，选择为VPN客户端分配IP地址的方式。这里选择“来自一个指定的地址范围”，单击“下一步”按钮，指定一个地址范围。（4）单击“下一步”按钮，出现“正在完成路由和远程访问服务器安装向导”界面，检查确认上述设置后，单击“完成”按钮。（5）开始启动RRAS服务并初始化，接着启动请求拨号接口向导（出现“欢迎使用请求拨号接口向导”界面）。（6）单击“下一步”按钮，出现“接口名称”对话框，输入用于连接分支机构的接口名称（本例为ToBranch）。（7）单击“下一步”按钮，出现“连接类型”对话框，选中

29、“使用虚拟专用网络连接（VPN）”单选按钮。（8）单击“下一步”按钮，出现图9-52所示的“VPN类型”界面，保持默认选择“自动选择”单选按钮。（9）单击“下一步”按钮，出现“目标地址”对话框，输入要连接的VPN路由器（对方VPN服务器）的名称（域名）或地址。此处可不填写，因为本例中总部VPN路由器不会初始化VPN连接，不呼叫其他路由器，所以不要求有地址。（10）单击“下一步”按钮，出现图9-53所示的对话框，勾选“在此接口上路由选择IP数据包”“添加一个用户账户使远程路由器可以拨入”复选框（在服务器上创建一个允许远程访问的本地用户账户）。图9-52 选择VPN类型 图9-53 设置传输选项如

30、果没有勾选“添加一个用户账户使远程路由器可以拨入”复选框，将直接跳到第（13）步，只是添加完请求拨号接口后，应自行创建设置远程路由器拨入的用户账户。（11）单击“下一步”按钮，出现图9-54所示的对话框，添加指向分支机构网络的路由，以便通过使用请求拨号接口来转发到分支机构的通信。例中与分支机构相对应的路由为192.168.3.0，网络掩码为255.255.255.0，跃点数为1，单击“添加”按钮弹出“静态路由”对话框来设置。如果有多个分支机构，应对每一个分支机构添加一条静态路由。（12）单击“下一步”按钮，出现图9-55所示的对话框，设置拨入凭据，即分支机构VPN路由器连接总部要使用的VPN用

31、户名和密码。这样设置，请求拨号接口向导将自动创建账户并将远程访问权限设置为“允许访问”，账户的名称与拨入请求接口的名称相同。图9-54 设置静态路由 图9-55 设置拨入凭据（13）单击“下一步”按钮，出现相应的对话框，设置拨出凭据，即总部连接到分支机构路由器要使用的用户名和密码。本例中总部路由器不会初始化VPN连接，输入任意名称、域和密码即可。（14）单击“下一步”按钮，出现“完成请求拨号接口向导”对话框，单击“完成”按钮完成该接口的创建，新添加的请求拨号连接将出现在“网络接口”列表中，如图9-56所示。54 第9章 路由和远程访问服务9.4 部署VPN部署远程网络互联VPN远程网络互联VP

32、N模拟实验环境55 第9章 路由和远程访问服务9.4 部署VPN部署远程网络互联VPN配置总部VPN路由器设置传输选项选择VPN类型56 第9章 路由和远程访问服务9.4 部署VPN部署远程网络互联VPN配置总部VPN路由器设置拨入凭据设置静态路由57 第9章 路由和远程访问服务9.4 部署VPN部署远程网络互联VPN配置总部VPN路由器新添加的请求拨号连接58 第9章 路由和远程访问服务9.4 部署VPN部署远程网络互联VPN部署分支机构VPN路由器接口名称设置为ToCorp。目标地址设置为总部VPN路由器的公网接口IP地址。设置协议及安全措施时不必勾选“添加一个用户账户使远程路由器可以拨入

33、”复选框。远程网络的静态路由设置为指向总部内网的路由，以使请求拨号接口转发到总部的通信。拨出凭据设置为用于拨入总部的用户账户的名称、域名和密码，与总部路由器请求拨号接口的拨入凭证相同。59 第9章 路由和远程访问服务9.4 部署VPN部署远程网络互联VPN部署分支机构VPN路由器设置拨出凭据60 第9章 路由和远程访问服务9.4 部署VPN部署远程网络互联VPN测试远程网络互联VPN添加请求拨号静态路由分支机构请求拨号连接61 第9章 路由和远程访问服务9.4 部署VPN部署远程网络互联VPN测试远程网络互联VPN设置连接类型62 第9章 路由和远程访问服务9.4 部署VPN让远程网络互联VP

34、N同时支持远程访问VPN在部署远程网络互联VPN的基础上，配置远程访问VPN客户端的接入。确认启用远程访问服务器设置支持远程访问连接63 第9章 路由和远程访问服务9.4 部署VPN让远程网络互联VPN同时支持远程访问VPN查看端口状态VPN同时支持远程网络互联和远程访问64 第9章 路由和远程访问服务内容CONTENTS导航IP路由配置NAT配置路由和远程访问基础部署VPNNPS网络策略配置与使用部署DirectAccess远程访问65 第9章 路由和远程访问服务9.5 NPS网络策略配置与使用NPS网络策略的应用第一种情形：安装“远程访问”服务器角色中的“DirectAccess和VPN（

35、RAS）”角色服务自动安装NPS部分组件（网络策略和记账）。如果采用Windows身份验证，将直接使用本地的NPS网络策略。如果采用RADIUS身份验证，将使用指定的RADIUS服务器上的NPS网络策略。第二种情形：同时安装“网络策略和访问服务”角色中的“网络策略服务器”角色服务和“远程访问”角色中的“DirectAccess和VPN（RAS）”角色服务网络策略服务器将自动接管远程访问服务的身份验证和记账。默认情况下系统使用本地服务器的NPS网络策略。使用其他服务器的网络策略，需要配置RADIUS代理。66 第9章 路由和远程访问服务9.5 NPS网络策略配置与使用NPS网络策略的构成网络策略

36、属性设置默认的网络策略列表每个网络策略是一条由条件、约束和设置组成的规则。67 第9章 路由和远程访问服务9.5 NPS网络策略配置与使用NPS网络策略的构成默认RRAS网络策略拒绝所有用户连接。允许远程访问的方法修改网络策略，将其访问权限改为“授予访问权限”。确认网络策略的访问权限设置中取消勾选了“忽略用户账户的拨入属性”复选框，通过用户账户拨入属性设置为远程访问用户授予“允许访问”网络权限。为远程访问创建专用的网络策略，为符合条件的连接请求授予访问权限。68 第9章 路由和远程访问服务9.5 NPS网络策略配置与使用NPS网络策略处理流程69 第9章 路由和远程访问服务9.5 NPS网络策

37、略配置与使用创建和管理NPS网络策略指定网络策略条件指定网络策略名称和连接类型70 第9章 路由和远程访问服务9.5 NPS网络策略配置与使用创建和管理NPS网络策略指定访问权限网络策略条件列表71 第9章 路由和远程访问服务9.5 NPS网络策略配置与使用创建和管理NPS网络策略配置约束配置身份验证方法72 第9章 路由和远程访问服务9.5 NPS网络策略配置与使用创建和管理NPS网络策略网络策略列表配置网络策略设置项73 第9章 路由和远程访问服务9.5 NPS网络策略配置与使用创建和管理NPS网络策略修改VPN连接属性修改NPS网络策略配置74 第9章 路由和远程访问服务9.5 NPS网

38、络策略配置与使用安装和配置网络策略服务器安装网络策略服务器角色服务使用服务器管理器中的添加角色和功能向导来安装网络策略服务器。网络策略服务器控制台配置3种类型的策略连接请求策略（Connection Request Policies）网络策略（Network Policies）健康策略（Health Policies）75 第9章 路由和远程访问服务9.5 NPS网络策略配置与使用安装和配置网络策略服务器网络策略服务器控制台NPS记账设置76 第9章 路由和远程访问服务9.5 NPS网络策略配置与使用RADIUS基础RADIUS系统的组成77 第9章 路由和远程访问服务9.5 NPS网络策略配

39、置与使用RADIUS基础RADIUS服务器的功能与应用功能为RADIUS客户端发送的所有访问请求提供集中的身份验证和授权服务。为RADIUS客户端发送的所有记账请求提供集中的记账记录服务。应用场合使用Active Directory域或本地SAM用户账户数据库作为访问客户端的用户账户数据库。在多个拨号服务器、VPN服务器或请求拨号路由器上使用路由和远程访问，并且要将网络策略配置与连接日志记录集中在一起。使用外购拨号、VPN或无线访问。对一组不同种类的访问服务器集中进行身份验证、授权和记账。78 第9章 路由和远程访问服务9.5 NPS网络策略配置与使用RADIUS基础RADIUS身份验证、授权

40、与记账工作流程访问服务器（如VPN服务器）作为RADIUS客户端从访问客户端接收连接请求。访问服务器将创建访问请求消息并将其发送给RADIUS服务器。RADIUS服务器评估访问请求。如果需要，RADIUS服务器会向访问服务器发送访问质询消息。系统将检查用户凭据，并获取用户账户的拨入属性。系统将使用用户账户的拨入属性和网络策略对连接尝试进行授权。如果对连接尝试进行身份验证和授权，则RADIUS服务器会向访问服务器发送访问接受消息，否则RADIUS服务器会向访问服务器发送访问拒绝消息。访问服务器完成与访问客户端的连接，并向RADIUS服务器发送记账请求消息。RADIUS服务器向访问服务器发送记账响

41、应消息。79 第9章 路由和远程访问服务9.5 NPS网络策略配置与使用RADIUS基础RADIUS代理RADIUS访问和记账消息都需要经过RADIUS代理服务器，被转发的消息的有关信息将被记录在RADIUS代理服务器的记账日志中。Windows Server 2012 R2网络策略服务器充当RADIUS代理，与RADIUS客户端和RADIUS服务器进行交互。RADIUS代理服务器将访问服务器提交的请求消息转发给指定的RADIUS服务器，RADIUS服务器将响应消息发送到RADIUS代理服务器，由它转发到访问服务器。80 第9章 路由和远程访问服务9.5 NPS网络策略配置与使用部署RADIU

42、S服务器用于VPN的RADIUS服务器模拟实验环境81 第9章 路由和远程访问服务9.5 NPS网络策略配置与使用部署RADIUS服务器将网络策略服务器设置为RADIUS服务器在该服务器上对请求进行身份验证默认的连接请求策略82 第9章 路由和远程访问服务9.5 NPS网络策略配置与使用部署RADIUS服务器为RADIUS服务器指定RADIUS客户端83 第9章 路由和远程访问服务9.5 NPS网络策略配置与使用部署RADIUS服务器配置网络策略进行访问授权授予访问权限84 第9章 路由和远程访问服务9.5 NPS网络策略配置与使用部署RADIUS服务器配置RADIUS客户端将VPN服务器作为

43、RADIUS客户端。添加RADIUS服务器设置RADIUS身份验证85 第9章 路由和远程访问服务9.5 NPS网络策略配置与使用部署RADIUS服务器测试RADIUS查看NPS日志记录（RADIUS记账）86 第9章 路由和远程访问服务内容CONTENTS导航IP路由配置NAT配置路由和远程访问基础部署VPNNPS网络策略配置与使用部署DirectAccess远程访问87 第9章 路由和远程访问服务9.6 部署DirectAccess远程访问DirectAccess基础DirectAccess工作原理DirectAccess工作时，客户端建立一个通向DirectAccess服务器的IPv6隧

44、道连接，该隧道连接可以在普通的IPv4网络上工作。DirectAccess服务器承担了网关的角色来连接内网和外网。由于部署有网络位置服务器，DirectAccess客户端得以自动感知网络位置。DirectAccess的优势部署和使用便捷，减少了终端用户的管理开销。位于外网的客户端可以自动地与公司内网服务器之间建立双向的连接，使得远程用户和移动设备更易于管理。提高用户的漫游体验和工作效率。改进远程访问的安全性。88 第9章 路由和远程访问服务9.6 部署DirectAccess远程访问DirectAccess的部署部署DirectAccess的最低要求Active Directory域服务。Di

45、rectAccess服务器。DirectAccess客户端。一个公网IP地址和相应DNS记录。所有客户端必须启用Windows防火墙。89 第9章 路由和远程访问服务9.6 部署DirectAccess远程访问DirectAccess的部署DirectAccess的部署路径和方案DirectAccess远程访问部署路径DirectAccess部署方案基本高级企业使用入门向导部署单台DirectAccess服务器使用高级设置部署单台DirectAccess服务器90 第9章 路由和远程访问服务9.6 部署DirectAccess远程访问DirectAccess的部署部署基本的DirectAcce

46、ss远程访问DirectAccess模拟实验环境91 第9章 路由和远程访问服务9.6 部署DirectAccess远程访问DirectAccess的部署部署基本的DirectAccess远程访问基本实现步骤（1）部署Active Directory环境和域控制器。（2）部署应用服务器。（3）配置DirectAccess服务器的网络设置。（4）配置公网服务器。（5）配置DirectAccess客户端。（6）配置DirectAccess远程访问。（7）测试DirectAccess远程访问功能。92 第9章 路由和远程访问服务9.6 部署DirectAccess远程访问DirectAccess的部署同时部署DirectAccess和VPN远程访问 在配置远程访问开始向导中选择“同时部署DirectAccess和VPN”。在RRAS控制台中配置VPN之后，再启用DirectAccess。在远程访问管理控制台中配置DirectAccess之后，再启用VPN。93 第9章 路由和远程访问服务THANKS