二、 Windows NT Server 4.0 VPN服务器的配置

　　在Windows NT Server 4.0系统中除了可以创建VPN客户端外，还可作为VPN服务器来配置，接受外部VPN连接请求。但条件是必须在安装有SP3以上补丁和RRAS（路由和远程访问服务）程序项后才可。当然PPTP协议也必须事先安装好。下面具体介绍RRAS的安装、配置方法及VPN服务器的配置方法。

1.  Windows NT RRAS服务的安装及配置

　　要使Windows NT Server 4.0系统支持VPN网络技术，首先要求系统安装有SP3以上补丁，最好能安装SP6补丁，并且从微软的官方网站上下载专为Windows NT Server
4.0系统开发的RRAS管理工具（可以在微软件的下载中心通过搜索的方式得到）。并且还需要为VPN网络安装PPTP协议。因所下载RRAS程序项是英文版本，所以如果原来服务器所使用的中文Windows NT Server 4.0系统，则可能出现此管理工具项为纯英文或显示不完全的现象。

　　（1）RRAS服务的安装

　　RRAS的安装方法如下：

　　第1步，双击下载后得到的RRAS压缩包后即自动解压缩，解压进程对话框如图10所示。

#$[*7333.jpg*#a*#0*#0*#center*]$#

图10

　　第2步，解压完后即弹出一个对话框，询问程序项安装的路径，如图11所示。选择好程序项安装路径后单击"OK"按钮完成RRAS程序的安装。

#$[*7335.jpg*#a*#0*#0*#center*]$#

图11

　　第3步，程序项安装后，系统弹出一个对话框询问是否现在立即安装RRAS服务项，要这个提示RRAS的系统要求为带有SP3以上补丁的Windows NT Server 4.0系统。如图12所示。当然也可以不立即安装RRAS服务项，如果这样需单击"否（N）"按钮，退出继续安装，可以在将来需要安装时运行保留在硬盘上的"mprsetup.exe"程序安装。

#$[*7336.jpg*#a*#0*#0*#center*]$#

图12

　　第4步，单击"是（Y）"按钮立即安装RRAS程序，如果在以前已安装了RAS程序项，则会弹出如图13所示的系统提示框，要求先删除原来系统中的RAS程序组件，并且提示删除后系统会提示要求重新启动系统，重新启动计算机后继续进行程序安装。

#$[*7337.jpg*#a*#0*#0*#center*]$#

图13

　　第5步，单击"是（Y）"按钮删除原来安装的RAS程序组件，当然如果以前没有安装RAS组件，则不会出现如图3.65所示提示框，也就不需要删除RAS程序组件了。删除后出现如图14所示提示框，要求重新启动计算机系统，启动后再次出现如图12所示提示框。

#$[*7338.jpg*#a*#0*#0*#center*]$#

图14

　　第6步，单击如图12所示提示框中的"是（Y）"按钮后即开始安装RRAS服务项。安装进程对话框如图15所示。

　　第7步，RRAS服务项安装过程中会弹出一个RRAS组件选项安装选择对话框，如图16所示。在这个对话框中可以选择所安装的组件，这些组件决定了安装RRAS服务后服务器所能提供的服务。

　　·Remote access service：远程访问服务。如果选择这一复选项，即此计算机可以提示远程访问服务，把服务器配置成远程访问服务器，允许接受远程客户的远程访问。

　　·LAN routing：局域网路由。如果选择这一复选项，则服务器允许为局域网提供路由服务，担当局域网路由器作用。

　　·Demand dial routing：请求拨号路由。如果选择这一复选项，则允许服务器为请求拨号用户提供路由服务，应用于广域网中，如在Internet上提供路由服务，担当广域网路由器作用。

　　为了把Windows NT Server 4.0系统配置成全面的VPN服务器，最好全选以上三项服务。

#$[*7339.jpg*#a*#0*#0*#center*]$#

图15

#$[*7342.jpg*#a*#0*#0*#center*]$#

图16

　　第8步，单击"OK"按钮出现如图17所示对话框，在这个对话框中要求添加RAS设备。如果已安装了诸如Modem之类的拨号设备，即会自动在下拉列表中显示出来。

#$[*7341.jpg*#a*#0*#0*#center*]$#

图17

　　第9步，选择一个RAS（远程访问服务）设备后（如果没有安装任何设备，系统会要求安装Modem，然后才能继续），单击"OK"按钮回到如图18 所示对话框。单击"Continue"按钮出现各已安装协议配置对话框，这部分内容将在后面继续介绍，在此仅需单击相应对话框中的"确定"按钮完成配置返回即可。当完成最后一个协议配置后出现如图19所示对话框，在这个对话框中提示用户RRAS服务已成功安装好了，单击"确定"按钮后系统提示要求重新启动，重新启动系统后所安装的RRAS服务开始生效。

#$[*7343.jpg*#a*#0*#0*#center*]$#

图18

#$[*7359.jpg*#a*#0*#0*#center*]$#

图19

　　（2）. 配置RRAS服务

　　在安装RRAS服务项后还需要进一步全面配置这一服务项，以更符合用户需求。配置RRAS的方法如下：

　　第1步，在网络属性对话框中"服务"标签项对话框选择"Router And Remote Access Service"选项，然后单击"属性"按钮，出现如图18所示对话框。

　　第2步，添加用于VPN通信的PPTP端口，单击如图18所示对话框中的"Add"按钮，打开如图20所示对话框。在这个对话框中显示了当前系统已有但未添加的所有可用端口。因为在前面的PPTP协议安装中已经配置了当前系统中可用的最大PPTP端口数10个，所以在对话框下拉列表中显示了可用的10个PPTP端口。

#$[*7360.jpg*#a*#0*#0*#center*]$#

图20

　　第3步，选择需要配置的PPTP端口，然后单击"OK"按钮，即可把所选的端口添加到RRAS服务中。如图21所示。如果要添加多个端口，则可重复上述步骤进行。

#$[*7361.jpg*#a*#0*#0*#center*]$#

图21

　　第4步，添加PPTP端口后就可以全面配置这个端口下的RRAS服务。选择要配置的PPTP VPN端口，然后单击如图21所示对话框中的"Configure"按钮，打开如图22所示对话框。这个对话框是用来配置端口拨入/拨出的权限。

#$[*7362.jpg*#a*#0*#0*#center*]$#

图22

　　·如果选择"Dial out as a RAS client"复选项，则允许在此端口上作为远程访问客户端向外呼叫，可以创建VPN客户端连接。

　　·如果选择"Receive calls as a RAS server"复选项，则允许在此端口上作为远程访问服务服务器接受外部的远程访问请求，可以接受外部VPN连接的请求，担当VPN服务器功能。

　　·如果选择"Dial out and receive calls as a demand dial router"复选项，则允许在此端口上作为拨入/拨出服务的请求拨号路由器，担当路由器功能。
以上3项根据实际需求配置，最好是全选，这样在需要时可以灵活应用。选择好后单击"OK"按钮返回。

　　第5步，除了对端口进行配置外，还可对此服务器上的网络通信协议进行配置。单击如图21所示对话框中的"NetWork"按钮，打开如图23所示对话框。

#$[*7363.jpg*#a*#0*#0*#center*]$#

图23

#$[*7364.jpg*#a*#0*#0*#center*]$#

图24

　　在"Dial out Protocols"区域是用来选择在服务器上向外拨号进行远程访问时所需通信协议。"TCP/IP"协议通常是需要选取的；如果此服务器要与Windows 9x远程访问服务器端进行远程访问时，则需要选择"NetBEUI"协议；而如果要与NetWare系统的远程访问服务器端进行远程访问通信时，则需要选择取"IPX"协议，否则不需要。

　　第6步，在"Server Settings"区域中也可选择需要为接受外部远程访问请求时配置的通信协议，选取原则同上，"Mutilink"项是用来选择是否需要配置多点链接协议，这是为了提高通信带宽而采取一项措施，如果配置有我外Modem，并且对带宽有更高需求时要以让多个Modem同时为一个通信提供支持，同时要注意，如果一方选择了支持这一多点链接协议，则另一方也应支持。通常不选择，因为解决带宽的方式目前有许多种，主要不是通过多个Modem并行支持来解决，而是采用带宽更高的通信方式，如现在的ADSL、Cable Modem、以太网宽带等。除了选取相应的通信协议还可对各协议进行详细配置。单击"NetBEUI"复选项后的"Configure"按钮打开如图24所示对话框。

　　第7步，单击如图23所示对话框"Server Settings"区域中"TCP/IP"后的"Configure"按钮，打开如图25所示对话框。"Allow remote TCP/IP clients to access"区域是用来选择TCP/IP协议客户端可以访问的网络范围。如果选择"Entire network"单选项，则表示允许访问整个网络，如果选择"This computer only"单选项，则CTP/IP客户端仅可访问此服务器本身。

#$[*7365.jpg*#a*#0*#0*#center*]$#

图25

#$[*7366.jpg*#a*#0*#0*#center*]$#

图26

　　如果选择"Use DHCP to assign remote TCP/IP client address"单选项，则远程TCP/IP客户端的IP地址由服务器的DHCP服务自动分配提供。

　　如果选择"Use static address poot"单选项，则远程TCP/IP客户端的IP地址由下面所配置的IP地址池分配所得。

　　如果选择"Allow remote clients to request a predetermined IP address"复选项是允许客户端自己请求IP地址，为了便于管理，通常不要选择这一复选项。

　　第8步，单击如图23所示对话框"Server Settings"区域中"IPX"后的"Configure"按钮，打开如图26所示对话框。这是专为接受NetWare客户端远程访问而配置的，因配置方法与配置TCP/IP协议的方法类似，并且目前来说IPX协议也不多用，所以在此不一详细介绍。

　　第9步，在如图23所示对话框中的"Authentication and Encryption Settings"区域中各选项是用来配置远程访问及VPN连接的身份验证和数据加密方法的。

　　·如果选择"Allow all Authentication include clear text"单选项，则允许所有身份验证方法，包括纯文本方式。

　　·如果选择"Require encrypted authentication"单选项，则要求采用加密的身份验证方法，非加密的身份验证将拒绝通过。

　　·如果选择"Require Microsoft encrypted authenticatin"单选项，则采用微软的加密身份验证方法。并在下面提供两上复选项，如果选择"Require data encryption"复选项，则表示在通信时数据需要加密，未经加密的数据将拒绝传输。如果选择"Require strong data encryption"复选项，则采用强加密方式（56位）。

　　第10步，在如图23所示对话框最下方有一个"Authentication Provider"区域，它是用来选择提供身份验证的供应商。有两种选择，一种是采用微软在Windows NT Server 4.0系统中自带的身份验证方法，此时需要选择"Windows NT"单选项。另一种是通过RADIUS（远程访问拨入用户服务）服务提供商来提供，此时需选择"RADIUS"单选项。如果选择这一单选项，还可通过单击其后的"Configure"按钮打开如图27所示对话框对RADIUS服务器进行配置。如果要添加RADIUS服务器，则单击对话框中的"Add"按钮打开如图28所示对话框中进行。

#$[*7367.jpg*#a*#0*#0*#center*]$#

图27

#$[*7355.jpg*#a*#0*#0*#center*]$#

图28

　　在"Server Name"文本框中输入RADIUS服务器的名称，如果需要在RADIUS客户端和服务器配置共享机密信息，则可在"Secret"文本框中输入，在"Intial Score"中选择一个相适应的初始值，这个值的大小可以提高或者降低服务器的响应速度，当然这个值勤也要根据服务器具体配置来确定，通常取默认值即可。

　　在RADIUS服务中提供了两种子服务，一种是用于身份验证，另一种是用于计帐，如果允许RADIUS服务器进行身份验证，则需选择"Enable Authentication"复选项，然后在下面的"Port"选项中输入一个提供此服务的端口号，通常取系统默认值，不要随便更改。如果要RADIUS服务器提供计帐服务，则需选择对话框中的"Enable Accounting"复选项，同样需要配置端口号，当然也只需取默认值即可。如果选择"Send Accounting on/off Messages"复选项，则当开始和退出远程访问时由RADIUS服务器向此服务器发送相应的帐号信息，如果不选，则此类信息将不发送。

【注意】如果选择了"Require Microsoft encrypted authenticatin"单选项，就不能选择"RADIUS"身份验证单选项。

　　配置了以上各选项后单击如图23所示对话框中的"OK"按钮返回到如图21所示对话框，再单击"Continue"按钮完成配置对话框。

2. Windows NT Server 4.0 请求拨号接口的创建

　　在Windows NT Server 4.0系统中除了可以创建远程访问VPN客户端连接外，还可以配置路由器到由路由器VPN服务器，构建LAN-LAN VPN网络连接。方法是通过创建"请求拨号接口"、为请求拨号接口配置静态路由来实现的。请求拨号接口的创建方法如下：

　　第1步，在安装了RRAS服务项后在程序项中多了一个"Administrative Tools"的管理工具项，在这个选项中仅包括一个"Routing And RAS Admin"工具选项，如图29所示。

#$[*7356.jpg*#a*#0*#0*#center*]$#

图29

　　第2步，单击"Routing And RAS Admin"工具选项，打开如图30所示对话框。这是RRAS服务主界面对话框。在创建接口前首先要确定RRAS服务已经启动成功，查看服务器RRAS服务是否已启动成功，只要查看对话框"Server"菜单下的"Start Router"菜单项是否呈激活状态，如是则表明RRAS服务并没有启动成功。还可通过查看工具栏上的" #$[*7747.jpg*#a*#0*#0*#0*]$#"按钮是否呈绿色来判断。如果没有启动成功，则不能创建请求拨号接口。

#$[*7748.jpg*#a*#0*#0*#center*]$#

图30

　　第3步，要启动RRAS服务，须在"服务"对话框中进行。

　　在"控制面板"中双击"服务"选项，在打开的对话框中找到"Routing And Remote Accesss Service"服务项，可以看出这一服务项目前并没有自动启动，如图31所示。

　　"Routing And Remote Access Service"服务项不能直接通过单击"开始"按钮来启动它，它与原来的"Remote Access Server"服务项是一样的，也必须依靠其相关的服务项"Remote Access Connection Manager"的启动而启动。启动这项服务的方法是一样的，在选中服务项后单击"开始"按钮就可启动。启动"Remote Access Connection Manager"服务项后再启动"Routing And Remote Access Service"服务项。

#$[*7750.jpg*#a*#0*#0*#center*]$#

图31

【说明】因为作为远程访问或VPN服务器通常是在系统启动时这些服务项能自动启动，所以最好把这些服务项都设置成自动启动类型，与"Routing And Remote Access Service"相关的服务项主要有如下几个：

　　·Remote Autodial Manager

　　·Remote Access Connection Mananger

　　·Remote Procedure Call(RPC) Locator

　　·Remote Procedure Call(RPC) Service

　　但系统中原有的"Remote Access Server"服务项就不能让它启动，最好禁止它，否则它会与"Routing And Remote Access Service"服务项相冲突，造成"Routing And Remote Access Service"服务项不能启动成功。