RAS服务器的管理.docVIP

实训　RAS服务器的管理 实训目的:RADIUS服务器配置、VPN服务器配置、IAS服务器的授权、VPN客户端的建立。 实训内容：RADIUS服务器的安装、在Active Directory中授权RADIUS服务器、配置RADIUS服务器的客户端、配置VPN服务器采用RADIUS服务器验证、验证VPN客户端。 实训条件：Virtual PC 2007虚拟机，Windows 2003 Server VHD文件（London和Denver）。 实训学时：4学时 实训步骤： 知识背景 Windows Server 2003中的 Internet 验证服务 (IAS) 是 Microsoft 实施的远程身份验证拨入用户服务 (RADIUS) 服务器和代理。作为 RADIUS 服务器，IAS 可集中执行多种类型的网络访问（包括无线、身份验证交换机、远程访问拨号和虚拟专用网 (VPN) 连接）的连接身份验证、授权和记帐。作为 RADIUS 代理，IAS 向其他 RADIUS 服务器转发身份验证和记帐消息。RADIUS 是 Internet 工程任务组 (IETF) 标准。 RADIUS 服务器具备对用户帐户消息的访问权限，并且能够检查网络访问身份验证凭据。如果用户的凭据是可验证的并且连接尝试经过授权，RADIUS 服务器则会对基于指定条件的用户访问进行授权并记录记帐日志中的网络访问连接。使用 RADIUS 可以在中心位置（而不是在每台访问服务器上）收集和维护网络访问用户身份验证、授权和记帐数据。 可以为以下解决方案创建不同的 IAS 配置： 无线访问 组织拨号或虚拟专用网 (VPN) 远程访问 外包的拨号或无线访问 Internet 访问 商业伙伴对 Extranet 资源已经过身份验证的访问 版本差异：可以在 Windows Server 2003 Standard Edition 中配置“Internet 验证服务”，最多配置 50 个 RADIUS 客户端和 2 个远程 RADIUS 服务器组。可以采用完全合格的域名或 IP 地址定义 RADIUS 客户端，但不能通过指定 IP 地址范围定义 RADIUS 客户端组。使用 Windows Server 2003 Enterprise Edition 和 Windows Server 2003 Datacenter Edition 中带的“Internet 验证服务”，可以配置无限多个 RADIUS 客户端和远程 RADIUS 服务器组。另外，可以通过指定 IP 地址范围来配置 RADIUS 客户端。 具体步骤 实验拓扑见图5.1：RADIUS和VPN服务器配置 实验目标：将Denver配置为一台RADIUS服务器，将London配置为一台VPN服务器和RADIUS客户端，宿主机配置为一台VPN客户端，VPN连接到VPN服务器并采用RADIUS服务器验证。 将Denver配置为一台RADIUS服务器。 打开“Windows组件”，找到“网络服务”项， 打开“网络服务”，找到“Internet 验证服务”项。确定后，开始安装RAIDUS服务。 安装完成，打开：“开始”－“程序”－“管理工具”，确认是否有RAIDUS的管理工具（Internet验证服务），如下图所示： 在Active Directory中授权RADIUS服务器： 打开Internet验证服务控制台，右击“Internet验证服务（本地）”，选择“在Active Directory中注册服务器”。 在“Active Directory中注册Internet验证服务器”提示框中，点击“确定”。 确定已在Active Directory中授权Internet验证服务器 配置RADIUS服务器的客户端 在Denver计算机上为VPN服务器新建一个RADIUS客户端 打开Internet验证服务控制台，右击“RADIUS客户端”，选择“新建RADIUS客户端”。 在“名称和地址”页中，依次输入合适的信息，注意客户端的IP地址项。点击下一步， 在“其他信息”页，输入自定义的共享机密，并选中“请求必须包括消息验证程序属性”选项。单击完成。 配置并启用路由和远程访问服务，添加VPN服务器角色 在London计算机启用路由和远程访问服务，注意选择“VPN”角色。 在London计算机启用路由和远程访问服务，注意选择“VPN连接到Internet的网络接口”。可取消“通过设置数据包筛选器来对选择的接口进行保护此服务器”选项（仅用于Ping测试方便，实际应用不可取）。 在London计算机启用路由和远程访问服务，手工指定一段IP地址。 采用RADIUS服务器和远程访问服务一起工作。 在RADIUS服务器选择页，按提示输入正确的主RAD