任務(wù)7部署遠(yuǎn)程網(wǎng)絡(luò)服務(wù)網(wǎng)絡(luò)操作系統(tǒng)項目教程目錄7.17.2CONTENTSWindowsServerVPN服務(wù)WindowsServerDirectAccess服務(wù)7.1WindowsServerVPN服務(wù)WindowsServerVPN服務(wù)VPN是跨專用或公用網(wǎng)絡(luò)（如Internet）的點對點連接。VPN是跨專用或公用網(wǎng)絡(luò)（如Internet）的點對點連接。VPN客戶端使用特殊的基于TCP/IP或UDP的協(xié)議（稱為隧道協(xié)議）對VPN服務(wù)器上的虛擬端口進(jìn)行虛擬調(diào)用。在典型的VPN部署中，客戶端通過Internet啟動到遠(yuǎn)程訪問服務(wù)器的虛擬點對點連接。遠(yuǎn)程訪問服務(wù)器應(yīng)答呼叫，對呼叫者進(jìn)行身份驗證，并在VPN客戶端和組織的專用網(wǎng)絡(luò)之間傳輸數(shù)據(jù)，如圖所示。1.

VPN概念WindowsServerVPN服務(wù)WindowsServerVPN服務(wù)2.隧道協(xié)議IKEv2協(xié)議，即第2版互聯(lián)網(wǎng)密鑰交換（InternetKeyExchange，IKE）協(xié)議。L2TP，即第二層隧道協(xié)議（LoyerTwoTunnelingProtocol），即點到點隧道協(xié)議。PPTP（Point-to-PointTunnelingProtocol）。SSTP，即安全套接字隧道協(xié)議（SecureSocketTunnelingProtocol）。僅Windows桌面版本支持SSTP。WindowsServerVPN服務(wù)3.通用Windows平臺VPN插件Windows10中引入了通用Windows平臺（UniversalWindowsPlatform，UWP）VPN插件，最初有單獨的VPN插件可用于Windows8.1Mobile和Windows8.1PC平臺。使用UWP，第三方VPN提供商可以使用WinRTAPI創(chuàng)建包含應(yīng)用程序的插件，從而消除了編寫系統(tǒng)級驅(qū)動程序復(fù)雜性和經(jīng)常遇到的問題。有許多通用Windows平臺VPN應(yīng)用程序，如PulseSecure、CiscoAnyConnect、F5Access、SonicwallMobileConnect和CheckPointCapsule。如果要使用UWPVPN插件，需要與供應(yīng)商合作以配置VPN解決方案所需的任何自定義設(shè)置。WindowsServerVPN服務(wù)打開“服務(wù)器管理器”窗口，添加角色，在“添加角色和功能向?qū)А睂υ捒颉斑x擇服務(wù)器角色”界面勾選“遠(yuǎn)程訪問”復(fù)選框，單擊“下一步”按鈕，如圖所示。4.VPN配置演示<WindowsServerVPN服務(wù)在“角色服務(wù)”列表框中勾選“Directaccess和VPN（RAS）”和“路由”復(fù)選框，單擊“下一步”按鈕，如圖所示。<安裝完成后，打開“服務(wù)器管理器”窗口，單擊“工具”按鈕，在彈出的下拉菜單中選擇“路由和遠(yuǎn)程訪問”，如圖所示。<WindowsServerVPN服務(wù)打開“路由和遠(yuǎn)程訪問”窗口，在左側(cè)的“AD（本地）”上單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“配置并啟用路由和遠(yuǎn)程訪問”，如圖所示。<在打開的“路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)А睂υ捒颉芭渲谩苯缑孢x擇“自定義配置”單選按鈕，單擊“下一步”按鈕，如圖所示。<WindowsServerVPN服務(wù)在“自定義配置”界面勾選“VPN訪問”復(fù)選框，如圖所示。<安裝完成，結(jié)果如圖所示。<WindowsServerVPN服務(wù)在“路由和遠(yuǎn)程訪問”窗口左側(cè)“AD（本地）”上單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“屬性”，如圖所示。<WindowsServerVPN服務(wù)打開“AD（本地）屬性”對話框，選擇“IPv4”選項卡，勾選“啟用IPv4轉(zhuǎn)發(fā)”復(fù)選框，選擇“靜態(tài)地址池”單選按鈕，單擊“添加”按鈕，設(shè)置地址范圍為~00，如圖所示。<WindowsServerVPN服務(wù)在“服務(wù)器管理器”窗口單擊“工具”按鈕，在彈出的下拉菜單中選擇“計算機(jī)管理”，如圖所示。<打開“計算機(jī)管理”窗口創(chuàng)建vpn01用戶，并在窗口中間的“vpn01”上單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“屬性”，如圖所示。<WindowsServerVPN服務(wù)打開“vpn01屬性”對話框，選擇“撥入”選項卡，選擇“允許訪問”單選按鈕，如圖所示。<WindowsServerVPN服務(wù)按“Windows+R”組合鍵，在“運行”對話框中輸入rrasmgmt.msc，打開“路由和遠(yuǎn)程訪問”窗口，在窗口左側(cè)的“AD（本地）”上單擊鼠標(biāo)右鍵，在彈出的快捷菜單中依次選擇“所有任務(wù)”-“重新啟動”，如圖所示。<WindowsServerVPN服務(wù)在VPN客戶端桌面任務(wù)欄的網(wǎng)絡(luò)圖標(biāo)上單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“打開網(wǎng)絡(luò)和共享中心”，如圖所示。<在打開的“網(wǎng)絡(luò)和共享中心”窗口中單擊“設(shè)置新的連接或網(wǎng)絡(luò)”超鏈接，如圖所示。<WindowsServerVPN服務(wù)在“設(shè)置連接或網(wǎng)絡(luò)”對話框中選擇“連接到工作區(qū)”，單擊“下一步”按鈕，如圖所示。<選擇“使用我的Internet連接（VPN）”，如圖所示。<WindowsServerVPN服務(wù)選擇“我將稍后設(shè)置Internet連接”，如圖所示。<在“鍵入要連接的Internet地址”界面輸入VPN服務(wù)器相關(guān)信息，勾選“記住我的憑據(jù)”復(fù)選框，單擊“創(chuàng)建”按鈕，如圖所示。<WindowsServerVPN服務(wù)“VPN連接”創(chuàng)建完畢后，在“網(wǎng)絡(luò)連接”窗口中的“VPN連接”圖標(biāo)上單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“屬性”，如圖所示。<打開“VPN連接屬性”對話框，選擇“安全”選項卡，設(shè)置如圖所示。<WindowsServerVPN服務(wù)在“網(wǎng)絡(luò)連接”窗口中的“VPN連接”圖標(biāo)上單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“連接/斷開連接”，如圖所示。<在“網(wǎng)絡(luò)”側(cè)邊欄中單擊“連接”按鈕，如圖所示。<WindowsServerVPN服務(wù)在彈出的“Windows安全性”對話框中輸入用戶憑據(jù)，如圖所示。<VPN連接成功，如圖所示。WindowsServerVPN服務(wù)7.2WindowsServerDirectAccess服務(wù)WindowsServerDirectAccess服務(wù)VPN是跨專用或公用網(wǎng)絡(luò)（如Internet）的點對點連接。DirectAccess允許連接遠(yuǎn)程用戶以組織網(wǎng)絡(luò)資源，而無須傳統(tǒng)的VPN連接。使用DirectAccess連接，遠(yuǎn)程客戶端計算機(jī)始終連接到組織，不需要遠(yuǎn)程用戶像VPN連接那樣啟動和停止連接。管理員可以在客戶端運行了DirectAccess并且已經(jīng)連接Internet時對其進(jìn)行管理。1.DirectAccess服務(wù)概念WindowsServerDirectAccess服務(wù)2.部署DirectAccess的先決條件（1）使用入門向?qū)Р渴饐蝹€DirectAccess服務(wù)器。WindowsServerDirectAccess服務(wù)①必須在所有配置文件上啟用Windows防火墻。②僅支持運行Windows10、Windows8和Windows8.1Enterprise的客戶端。③不需要公鑰基礎(chǔ)結(jié)構(gòu)。④不支持部署兩因素身份驗證。域憑據(jù)是身份驗證所必需的。⑤自動將DirectAccess部署到當(dāng)前域中的所有移動計算機(jī)。⑥到Internet的流量不會通過DirectAccess。不支持強(qiáng)制隧道配置。⑦DirectAccess服務(wù)器是網(wǎng)絡(luò)位置服務(wù)器。⑧不支持網(wǎng)絡(luò)訪問保護(hù)（NetworkAccessProtection，NAP）。⑨不支持使用DirectAccess管理控制臺或WindowsPowerShell中的cmdlet以外的功能更改策略。（2）部署具有高級設(shè)置的單個DirectAccess服務(wù)器。WindowsServerDirectAccess服務(wù)①必須部署公鑰基礎(chǔ)結(jié)構(gòu)。②必須在所有配置文件上啟用Windows防火墻。③以下服務(wù)器操作系統(tǒng)支持DirectAccess。WindowsServer2016、WindowsServer2012R2、WindowsServer2012、WindowsServer2008R2。④以下客戶端操作系統(tǒng)支持DirectAccess。Windows10企業(yè)版、Windows10企業(yè)版2015年服務(wù)分支（LTSB）、Windows8企業(yè)版、Windows8.1企業(yè)版、Windows7Ultimate、Windows7Enterprise。⑤KerbProxy身份驗證不支持強(qiáng)制隧道配置。⑥不支持使用DirectAccess管理控制臺或WindowsPowerShell中的cmdlet以外的功能更改策略。⑦不支持在另一臺服務(wù)器上分離NAT64/DNS64和IPHTTPS服務(wù)器角色。打開“服務(wù)器管理器”窗口，添加角色，在“添加角色和功能向?qū)А睂υ捒颉斑x擇服務(wù)器角色”界面中勾選“ActiveDirectory證書服務(wù)”復(fù)選框，單擊“下一步”按鈕，如圖所示。3.DirectAccess服務(wù)配置演示<WindowsServerDirectAccess服務(wù)依次單擊“下一步”按鈕，直到最后一步，單擊“安裝”按鈕。安裝完成后，在“服務(wù)器管理器”窗口單擊感嘆號標(biāo)識，在彈出對話框單擊“配置目標(biāo)服務(wù)器上的ActiveDirectory證書服務(wù)”超鏈接，如圖所示。<WindowsServerDirectAccess服務(wù)在“ADCS配置”對話框“角色服務(wù)”界面，勾選“證書頒發(fā)機(jī)構(gòu)”復(fù)選框，單擊“下一步”按鈕，如圖所示。<在“確認(rèn)”界面確認(rèn)配置，完成證書頒發(fā)機(jī)構(gòu)的安裝，如圖所示。<WindowsServerDirectAccess服務(wù)在“服務(wù)器管理器”窗口單擊“工具”按鈕，在彈出的下拉菜單中選擇“證書頒發(fā)機(jī)構(gòu)”，如圖所示。<WindowsServerDirectAccess服務(wù)按“Windows+R”組合鍵，在“運行”對話框中輸入Certsrv.msc，打開“certsrv”窗口，在窗口左側(cè)選擇“證書模板”，在窗口中部“計算機(jī)”模板上單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“復(fù)制模板”，如圖所示。<WindowsServerDirectAccess服務(wù)打開“新模板的屬性”對話框選擇“常規(guī)”選項卡，輸入模板名稱，如圖所示。<選擇“請求處理”選項卡，勾選“允許導(dǎo)入私鑰”復(fù)選框，如圖所示。<WindowsServerDirectAccess服務(wù)選擇“安全”選項卡，在“組或用戶名”列表框中選擇“AuthenticatedUsers”，在下方列表框中勾選“注冊”權(quán)限的“允許”復(fù)選框，如圖所示。<選擇“使用者名稱”選項卡，選擇“在請求中提供”單選按鈕，如圖所示。<WindowsServerDirectAccess服務(wù)在“certsrv”左側(cè)“證書模板”上單擊鼠標(biāo)右鍵，在彈出的快捷菜單中依次選擇“新建”-“要頒發(fā)的證書模板”，如圖所示。<打開“啟用證書模板”對話框，選擇“test”模板，單擊“確定”按鈕，如圖所示。<WindowsServerDirectAccess服務(wù)按“Windows+R“組合鍵，在“運行”對話框中輸入certlm.msc，打開“certlm”窗口，在左側(cè)的“個人”上單擊鼠標(biāo)右鍵，在彈出的快捷菜單中依次選擇“所有任務(wù)”-”申請新證書”，如圖所示。<WindowsServerDirectAccess服務(wù)在打開的“證書注冊”對話框中選中“test”模板，進(jìn)行證書注冊，如圖所示。<打開“證書屬性”對話框，在“使用者”選項卡中的“類型”下拉列表框中選擇“公用名”，寫入值“DA.”，如圖所示。<WindowsServerDirectAccess服務(wù)單擊“完成”按鈕完成注冊，如圖所示。<在“certlm”窗口中查看證書注冊情況，如圖所示。<WindowsServerDirectAccess服務(wù)按“Windows+R”組合鍵，在“運行”對話框中輸入dnsmgmt.msc，打開“DNS管理器”窗口，在窗口左側(cè)單擊“”，在彈出的快捷菜單中選擇“A記錄”，創(chuàng)建兩個A記錄，分別為“nca”和“nls”，如圖所示。<WindowsServerDirectAccess服務(wù)在“服務(wù)器管理器”窗口添加角色，在“添加角色和功能向?qū)А睂υ捒颉斑x擇服務(wù)器角色”界面勾選“遠(yuǎn)程訪問”復(fù)選框，單擊“下一步”按鈕，如圖所示。<WindowsServerDirectAccess服務(wù)在“角色服務(wù)”列表框中勾選“Directaccess和VPN（RAS）”和“路由”復(fù)選框，單擊“下一步”按鈕至安裝完成，如圖所示。<按“Windows+R”組合鍵，在“運行”對話框中輸入INETMGR，打開“InternetInformationServices（IIS）管理器”窗口，在窗口右側(cè)選擇“綁定”，如圖所示。<WindowsServerDirectAccess服務(wù)打開“添加網(wǎng)站綁定”對話框，在“SSL證書”下拉列