在當(dāng)今的地理位置分散的業(yè)務(wù)環(huán)境中，遠程訪問不再是奢侈品，而成為了必需品。從全職遠程辦公者到頻繁旅行的高管和銷售人員，再到有時需要在家辦公的員工，用戶需要在辦公室以外能夠連接到公司網(wǎng)絡(luò)。Windows Server 2008 R2 為您提供了更加豐富的選擇，可供您選擇最適合您機構(gòu)需求的遠程訪問解決方案。

您可以選擇使用傳統(tǒng)的點對點隧道協(xié)議 (PPTP) 或基于 IPsec 的第 2 層傳輸協(xié)議 (L2TP/IPsec) 虛擬專用網(wǎng)絡(luò) (VPN) 連接，也可以選擇使用安全套接字隧道協(xié)議 (SSTP) 的安全套接字層 (SSL) 加密的 HTTP VPN 連接。或者，您可以選擇被稱為“VPN 重新連接”的使用 Internet 密鑰交換版本 2 (IKEv2) 的 Internet 協(xié)議安全性 (IPSec) 隧道模式。最后，您可以選擇使用被稱為“VPN 終結(jié)者”的 DirectAccess 來代替虛擬專用網(wǎng)絡(luò)，使用戶能夠更輕松、透明地進行連接，并使管理員能夠更好地控制遠程計算機。在本文中，我們將介紹可部署的每一項解決方案及其各自的優(yōu)缺點。

請注意，選擇過程的一部分是確定特定的遠程訪問技術(shù)能否使客戶端確實能夠從其可能漫游到的位置進行連接。例如，如果您的客戶端計算機漫游到其他人的防火墻之后，則通常 PPTP 和 L2TP 會被阻止。Windows Server 2008 R2 路由和遠程訪問 (RRAS) 通過 RRAS MMC 管理單元配置。請注意，如果安裝了網(wǎng)絡(luò)策略服務(wù)器 (NPS) 角色，您必須使用該角色配置身份驗證和記帳提供程序，以及創(chuàng)建或修改連接請求策略。該 NPS 角色通過 NPS MMC 管理單元配置。NPS 可用作 RADIUS 服務(wù)器、RADIUS 代理和/或網(wǎng)絡(luò)訪問保護 (NAP) 策略服務(wù)器。

本文內(nèi)容：

• 傳統(tǒng)的 PPTP 或 L2TP/IPsec VPN
• 使用 SSTP 的 SSL 加密的 HTTP VPN
• 使用 IKEv2 和 VPN 重新連接的 IPsec 隧道模式
• 超越 VPN：DirectAccess 

傳統(tǒng)的 PPTP 或 L2TP/IPsec VPN

PPTP 是 Windows 支持的首個 VPN 協(xié)議，且 Windows Server 2008 R2 RRAS 仍包含對遠程訪問 VPN PPTP 服務(wù)器的支持。L2TP/IPsec 在 Windows 2000 Server 中引入。PPTP 使用點對點 (PPP) 協(xié)議進行身份驗證，并使用 Microsoft 點對點加密 (MPPE) 進行數(shù)據(jù)加密。出于安全考慮，通常 PPTP 不會用于現(xiàn)代 VPN 部署，但它具有易于部署的優(yōu)點。如果您選擇對您的 VPN 使用 PPTP，通常您需要執(zhí)行以下操作：

1. 確定放置 VPN 服務(wù)器的網(wǎng)絡(luò)位置，例如放置在本地網(wǎng)絡(luò)與 Internet 之間的外圍網(wǎng)絡(luò)中。
2. 使用兩個 NIC 配置 VPN 服務(wù)器，一個用于外部網(wǎng)絡(luò)，另一個用于內(nèi)部網(wǎng)絡(luò)。
3. 配置邊緣防火墻，以允許 PPTP 與 VPN 服務(wù)器的外部 NIC 之間的數(shù)據(jù)傳輸，包括 GRE（IP 協(xié)議 47）和 TCP 端口 1723。
4. 配置 RRAS 以允許 Internet 與本地網(wǎng)絡(luò)之間的轉(zhuǎn)發(fā)。
5. 將 DNS 地址記錄添加到 DNS 服務(wù)器，從而可將 VPN 服務(wù)器名稱解析為其公共 IP 地址。
6. 配置 Active Directory，以支持連接 VPN 服務(wù)器的用戶進行遠程訪問。
7. 配置 VPN 客戶端。

Microsoft 的 L2TP/IPsec 能夠提供更出色的安全性；除 PPP 身份驗證方法外，它還使用 IPsec 進行計算機相互身份驗證。但是，部署 IPsec 需要使用證書，這要求具備公鑰基礎(chǔ)結(jié)構(gòu) (PKI)，因此如果您尚未部署該基礎(chǔ)結(jié)構(gòu)，這一過程會比較復(fù)雜。（對于 PPTP，如果您正在使用智能卡身份驗證或 EAP-TLS 身份驗證，您只需要一個 PKI）。如需對用戶訪問進行更精細的控制，可使用 Internet 身份驗證服務(wù) (IAS) 服務(wù)器，它使用遠程訪問撥號用戶服務(wù) (RADIUS) 協(xié)議進行集中身份驗證、授權(quán)和記帳。部署 L2TP/IPsec 的步驟如下：

1. 使用至少一個證書頒發(fā)機構(gòu) (CA) 來部署 PKI。大型機構(gòu)通常會采用兩級或三級 CA 層次結(jié)構(gòu)，而小型機構(gòu)可使用一個 CA 作為根 CA 以及發(fā)行 CA。
2. 在驗證 VPN（或 IAS）服務(wù)器上安裝計算機證書。
3. 在 VPN 客戶端計算機上安裝用戶和計算機證書。
4. 確定放置 VPN 服務(wù)器的網(wǎng)絡(luò)位置，例如放置在本地網(wǎng)絡(luò)與 Internet 之間的外圍網(wǎng)絡(luò)中。
5. 使用兩個 NIC 配置 VPN 服務(wù)器，一個用于外部網(wǎng)絡(luò)，另一個用于內(nèi)部網(wǎng)絡(luò)。
6. 配置邊緣防火墻，以支持 L2TP/IPsec 與 VPN 服務(wù)器的外部 NIC 之間的數(shù)據(jù)傳輸。
7. 配置 RRAS 以允許 Internet 與本地網(wǎng)絡(luò)之間的轉(zhuǎn)發(fā)。
8. 將 DNS 地址記錄添加到外部 DNS 服務(wù)器，從而將 VPN 服務(wù)器名稱解析為其公共 IP 地址。
9. 配置 Active Directory，以支持連接 VPN 服務(wù)器的用戶進行遠程訪問。
10. 配置 VPN 客戶端。

請注意，雖然可將 L2TP/IPsec 配置為支持預(yù)共享密鑰身份驗證，但此方法與基于 PKI 的解決方案相比安全性與可伸縮性較差。

在 PPTP 和 L2TP/IPsec 部署中，如果使用 RADIUS 身份驗證，則您需要配置 Internet 身份驗證服務(wù) (IAS) 服務(wù)器、創(chuàng)建遠程訪問策略，并將 VPN 服務(wù)器作為 IAS 服務(wù)器的遠程身份驗證撥號用戶服務(wù) (RADIUS) 客戶端添加。#p#

使用 SSTP 的 SSL 加密的 HTTP VPN

SSL 最初作為基于 Web 的協(xié)議引入，用于使用非對稱加密創(chuàng)建客戶端與服務(wù)器之間的安全連接。它通常由網(wǎng)站用來保護金融和其他私人交易的安全。傳統(tǒng)上，SSL 加密的網(wǎng)站會使用以 https: 而不是 http: 開頭的 URL。當(dāng)今，實際上有兩種不同的技術(shù)被統(tǒng)稱為“SSL VPN”。第一種技術(shù)是應(yīng)用程序特定的 VPN，用于發(fā)布供用戶使用瀏覽器作為客戶端連接的基于 Web 的應(yīng)用程序，其中應(yīng)用程序流量在受 SSL 保護的 HTTP 內(nèi)傳輸。

SSL 還可用于為遠程訪問連接創(chuàng)建 VPN 隧道。第二種技術(shù)與傳統(tǒng)的 VPN 更為相像，其中客戶端計算機發(fā)送的所有流量均封裝在受 SSL 保護的 HTTP 內(nèi)，并發(fā)送至組織的 Intranet。SSL 隧道可用于訪問非 Web 應(yīng)用程序。SSL VPN 流行的部分原因在于無需安裝胖 VPN 客戶端（SSTP 客戶端目前內(nèi)置在 Windows 中），而且它們被認為比傳統(tǒng)的 VPN 更具用戶友好性。

SSL 在 OSI 網(wǎng)絡(luò)模型的應(yīng)用層運行。它的一大優(yōu)勢在于大多數(shù)防火墻和代理支持通過端口 443 傳輸 SSL 流量，因此無需對防火墻進行特殊配置即可使用。有些 Internet 服務(wù)提供商不支持基本路由封裝 (GRE) 封裝的數(shù)據(jù)包（用于 PPTP），因而可能導(dǎo)致出現(xiàn)防火墻、Web 代理和網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 問題。同樣，IKE 流量和 L2TP/IPsec 所用的封裝式安全措施負載 (ESP) 封裝的數(shù)據(jù)包可能無法通過受防火墻、代理和 NAT 限制的一些端口。

隨著基于 SSL 的 VPN 成為行業(yè)趨勢，Microsoft 在 Windows Server 2008/Vista SP1 中引入了使用 SSL VPN 協(xié)議的 PPP 以及安全套接字隧道協(xié)議 (SSTP)。它被集成到 RRAS 并實際上使用 SSL 的繼承者 - 傳輸層安全性 (TLS)。SSTP 可處理 IPv4 和 IPv6 數(shù)據(jù)包。它支持網(wǎng)絡(luò)訪問保護 (NAP)，并可以使用與 PPTP 和 L2TP（例如 EAP-TLS）相同的身份驗證協(xié)議；但是，它僅用于遠程客戶端訪問，且不支持站點到站點 VPN。

SSTP 服務(wù)器必須具有一個網(wǎng)站證書（旨在實現(xiàn)“服務(wù)器身份驗證”的目的），以供 SSTP 客戶端在建立 SSL 會話期間對服務(wù)器進行驗證。SSTP 客戶端必須信任 SSTP VPN 服務(wù)器使用的證書。這意味著必須在 SSTP 客戶端上安裝根 CA 的證書。建立 SSL 會話之后將進行用戶身份驗證，從而保護加密的隧道內(nèi)的憑據(jù)。

SSTP 部署所涉及的步驟取決于特定配置。下文包含了各種特定情況的詳細信息：

• 如何部署使用 NAT 路由器的基于 SSTP 的 VPN 服務(wù)器
  http://blogs.technet.com/rrasblog/archive/2007/09/26/how-to-deploy-sstp-based-vpn-server-behind-a-nat-router.aspx
• 如何部署使用 SSL 終止器的基于 SSTP 的 VPN 服務(wù)器
  http://blogs.technet.com/rrasblog/archive/2007/03/07/configuring-sstp-in-a-reverse-proxy-scenario.aspx
• 如何部署使用網(wǎng)絡(luò)負載平衡 (NLB) 的基于 SSTP 的 VPN 服務(wù)器
  http://support.microsoft.com/kb/947029
• 如何在同一臺計算機上部署基于 SSTP 的 VPN 服務(wù)器與 Internet 信息服務(wù) (IIS)
• http://blogs.technet.com/rrasblog/archive/2007/11/08/configuring-iis-on-the-sstp-server-implications-and-how-to-resolve.aspx

請注意，SSL VPN 服務(wù)器不需要部署 IIS，因為它通過 HTTP.SYS 直接偵聽 HTTPS。#p#

使用 IKEv2 和 VPN 重新連接的 IPsec 隧道模式

Windows Server 2008 R2 中的 RRAS 與 Windows 7 客戶端共同支持新的隧道協(xié)議：使用 Internet 密鑰交換版本 2 (IKEv2) 的 IPsec 隧道模式。通過當(dāng)用戶臨時失去 Internet 連接時自動重建連接的方式，該模式使 VPN 連接更加可靠，特別是當(dāng)客戶端計算機更改其 IP 地址時。當(dāng)使用無線移動連接時，這種情況會經(jīng)常發(fā)生。對于傳統(tǒng)的 VPN，用戶需要在重新連接到 Internet 后手動重新連接 VPN，但借助 VPN 重新連接，可自動重新連接 VPN，無需用戶執(zhí)行任何操作。

部署采用 IKEv2 和 VPN 重新連接的 IPsec 隧道模式的典型步驟如下所示：

1. 配置 EAP 或部署 PKI，至少應(yīng)具有一個證書頒發(fā)機構(gòu) (CA)。大型機構(gòu)通常會采用兩級或三級 CA 層次結(jié)構(gòu)，而小型機構(gòu)可使用一個 CA 作為根 CA 以及發(fā)行 CA。
2. 使用兩個 NIC 配置 VPN 服務(wù)器，一個用于外部網(wǎng)絡(luò)，另一個用于內(nèi)部網(wǎng)絡(luò)。
3. 在 VPN 服務(wù)器上安裝根 CA 證書。
4. 請求服務(wù)器身份驗證證書并將其安裝在 VPN 服務(wù)器上（該證書帶有服務(wù)器身份驗證和 IP 安全性 IKE 中間擴展密鑰使用選項），同時確保該證書位于計算機存儲區(qū)中。
5. 在 VPN 服務(wù)器上安裝 RRAS 角色。
6. 如果 VPN 服務(wù)器還作為網(wǎng)絡(luò)策略服務(wù)器使用，需要安裝 NPS 角色。
7. 配置 RRAS，使該服務(wù)器成為 VPN 服務(wù)器。
8. 配置網(wǎng)絡(luò)策略服務(wù)器，以啟用和配置 IKEv2 VPN 連接的遠程訪問策略（注意，如果使用基于 EAP 的身份驗證，則需要配置 NPS。如果使用計算機證書身份驗證，則不需要配置 NPS）。

要配置 Windows 7 客戶端，需要首先使用網(wǎng)絡(luò)和共享中心的“設(shè)置新的連接或網(wǎng)絡(luò)”向?qū)韯?chuàng)建 VPN connectoid。創(chuàng)建 connectoid 之后，可在網(wǎng)絡(luò)和共享中心的左窗格中單擊“更改適配器設(shè)置”、右鍵單擊該 VPN 連接并選擇“屬性”，從而找到該 connectoid。在“安全性”選項卡中，需要從“VPN 類型”的下拉菜單中選擇 IKEv2。您可以使用任意支持的數(shù)據(jù)加密類型。對于身份驗證，您可以使用 EAP 或 X.509 計算機證書。然后單擊“高級設(shè)置”，并確保選中了“移動性”復(fù)選框。VPN 重新連接支持 IPv4 或 IPv6。#p#

超越 VPN：DirectAccess

DirectAccess 是 Windows Server 2008 R2 和 Windows 7 的新功能，它被認為是遠程訪問的未來以及 VPN 的最終替代方案，尤其是在企業(yè)管理的計算機領(lǐng)域。雖然 VPN 重新連接使用戶能夠?qū)崿F(xiàn)無縫重建 VPN，但 DirectAccess 的功能更加強大，能夠從最開始實現(xiàn)公司網(wǎng)絡(luò)的無縫連接。用戶不再需要 VPN，因為他們在連接 Internet 的情況下可隨時自動連接到公司網(wǎng)絡(luò)，即便當(dāng)他們使用 Web 代理或端口受限的防火墻時也是如此。DirectAccess 不僅提高了用戶易用性，還簡化了管理員工作。利用 DirectAccess，您能夠更好地控制連接到公司網(wǎng)絡(luò)的計算機，并在這些計算機連接到 Internet 時隨時更新其組策略或軟件，即便用戶未登錄。

與各種類型的 VPN 相比，DirectAccess 的另一項優(yōu)勢是安全性。DirectAccess 采用 IPv6 代替 IPsec，并支持多因素身份驗證。IPsec 身份驗證用于用戶和計算機，而智能卡則可用于用戶身份驗證。雖然 DirectAccess 使用 IPv6，但客戶端計算機仍能夠連接到使用 IPv4 Internet 的公司網(wǎng)絡(luò)上的 DirectAccess 服務(wù)器。DirectAccess 服務(wù)器可以是 Windows Server 2008 R2 服務(wù)器或 Forefront Unified Access Gateway (UAG)。

此外，還可以將 DirectAccess 配置為使 Internet 流量與 Intranet 流量分離。這樣 Internet 通信不必通過內(nèi)部網(wǎng)絡(luò)然后再返回 Internet，避免了大多數(shù) VPN 存在的問題。這意味著性能的提升。除這種默認配置外，如果需要，您也可以選擇通過 DirectAccess 服務(wù)器發(fā)送 Internet 流量。您還可以配合使用 Windows 防火墻的出站規(guī)則與高級安全功能，以控制哪些應(yīng)用程序可以與 Internet 通信以及可連接到哪些內(nèi)部子網(wǎng)客戶端。

DirectAccess 使用兩個 IPsec 隧道。第一個是封裝式安全措施負載 (ESP) 隧道，它采用計算機證書和計算機帳戶 NTLMv2 身份驗證來訪問 DNS 服務(wù)器、域控制器以及其他管理服務(wù)器，例如用于網(wǎng)絡(luò)訪問保護 (NAP) 和軟件更新的服務(wù)器，這樣可以在用戶登錄前對計算機進行管理。第二個隧道也使用計算機證書，但同時使用用戶憑據(jù)來通過 Kerberos 驗證用戶身份以及訪問公司網(wǎng)絡(luò)上的資源和應(yīng)用程序。客戶端采用端到端或端到邊的 IPsec 加密連接到網(wǎng)絡(luò)資源。前者能夠提供更高的安全性，但應(yīng)用程序服務(wù)器必須運行 Server 2008/2008 R2 并啟用 IPv6 以及 IPsec。端到邊連接涵蓋從客戶端到網(wǎng)關(guān)（DirectAccess 服務(wù)器），然后以未保護的方式將數(shù)據(jù)包發(fā)送至公司網(wǎng)絡(luò)中的應(yīng)用程序服務(wù)器。這種連接的優(yōu)勢在于您不需要在內(nèi)部網(wǎng)絡(luò)上部署 IPsec 和 IPv6，并且可以連接到僅采用 IPv4 的服務(wù)器（如果您使用 Forefront UAG 及其 NAT64/DNS64 技術(shù)）。DirectAccess 客戶端必須運行 Windows 7 Enterprise 或 Ultimate 版。

要部署 Windows Server 2008 R2 DirectAccess，您必須：

1. 部署 PKI 以頒發(fā)計算機證書（如果使用智能卡和 NAP 技術(shù)，還需要頒發(fā)智能卡證書和 NAP 健康證書），并進行配置，以自動注冊計算機證書。
2. 部署網(wǎng)絡(luò)位置服務(wù)器（實際上就是 SSL 網(wǎng)站），由 DirectAccess 客戶端用來確定其是否處于公司網(wǎng)絡(luò)中。
3. 確保 DirectAccess 服務(wù)器與一個 Active Directory 域相連接，其中至少一個域控制器和一個 DNS 服務(wù)器運行 Windows Server 2008/2008 R2。
4. 為 DirectAccess 客戶端與（可選）選定服務(wù)器創(chuàng)建 AD 安全組。
5. 配置防火墻數(shù)據(jù)包篩選。
6. 使用兩個 NIC 配置 DirectAccess 服務(wù)器，一個連接到 Internet，另一個連接到內(nèi)部網(wǎng)絡(luò)。
7. 在外部 NIC 上配置至少兩個連續(xù)的公共 IP 地址。
8. 將 DNS 地址添加到面向內(nèi)部和外部 (Internet) DNS 服務(wù)器，這樣 DirectAccess 客戶端就能夠定位服務(wù)器組件。
9. 在 DirectAccess 服務(wù)器上安裝使用計算機身份驗證增強型密鑰用法 (EKU) 的計算機證書（用于 IPsec 的身份驗證）。
10. 安裝 SSL 證書以用于 IP-HTTPS 身份驗證。

DirectAccess 安裝向?qū)⒁龑?dǎo)您完成針對 Intranet 訪問、選定的服務(wù)器訪問或端到端訪問配置 DirectAccess 服務(wù)器的相關(guān)步驟。有關(guān)在上述情況下如何部署 Windows Server 2008 R2 DirectAccess 的詳細說明，請參見《DirectAccess 部署指南》，網(wǎng)址為：http://technet.microsoft.com/zh-cn/library/ee649163(WS.10).aspx

請?zhí)貏e注意，Windows DirectAccess 解決方案并非設(shè)計用于企業(yè)環(huán)境，因為其缺少對數(shù)組、高可用性、集中配置以及非 IPv6 資源的支持。如果企業(yè)希望部署 DirectAccess，Microsoft 推薦使用 Forefront UAG DirectAccess。Forefront UAG DirectAccess 包括一些技術(shù)增強功能，使 DirectAccess 能夠滿足企業(yè)的需求。有關(guān) UAG DirectAccess 部署方案和注意事項的詳細信息，請參見《UAG DirectAccess 設(shè)計指南》，網(wǎng)址為：http://technet.microsoft.com/zh-cn/library/ee406191(en-us).aspx

小結(jié)

Windows Server 2008 R2 提供了比以往更為豐富的遠程訪問選擇方案。我們提供從例如撥號遠程訪問的舊式方法到最現(xiàn)代的 DirectAccess 技術(shù)，供您根據(jù)您機構(gòu)的需求選擇提供公司網(wǎng)絡(luò)遠程用戶訪問的最佳方式，包括帶寬考慮、現(xiàn)有的基礎(chǔ)結(jié)構(gòu)、兼容性問題、用戶和管理易用性以及其他相關(guān)需求等。最佳實踐是結(jié)合這些方法，為您的用戶提供最靈活的遠程訪問體驗。例如，如果您機構(gòu)的計算機已連接到 Active Directory 域，可對它們進行配置以使用 DirectAccess，并設(shè)置 Windows，使用戶能夠默認使用 VPN 重新連接作為主 VPN，但是在 VPN 重新連接被干預(yù)防火墻阻擋時退回 SSTP，然后退回 PPTP。

部署這些訪問方法所需的所有服務(wù)器和客戶端軟件均隨 Windows Server 2008 R2 操作系統(tǒng)一起提供，并且根據(jù)客戶端操作系統(tǒng)版本，Windows 桌面操作系統(tǒng)還包含一些或全部的客戶端軟件。

原文地址

文章來源：微軟TechNet中文網(wǎng)

【編輯推薦】

1. 活動目錄在Server 2008 R2中的重要功能
2. Server 2008 R2在數(shù)據(jù)中心的四大功能
3. Windows Server 2008 R2 SP1新添功能亮點
4. Windows Server 2008 R2的用戶體驗
5. 巧用PowerShell管理Win Server 2008 R2