如何有效建立Windows 2000 VPN服务器

　　在考虑过硬件配置问题之后，就需要在机器上安装Windows 服务器和最近的服务包。同时要保证在服务器上没有安装其他不需要的服务，例如DNS服务、DHCP服务和IIS服务。同样要避免装载任何额外的第三方软件，除了那些不得不安装的软件，如备份代理程序。

　　安装Windows服务器期间，应该选择静态分配IP地址方式。要为第一块网卡设置一个真实的Internet IP地址和Internet路由器的缺省网关。另一块网卡应该拥有一个分配给局域网的IP地址，而且不应该使用缺省网关。

　　还要为VPN服务器设置域/工作组。所作的设置取决于用户服务器进行用户验证的方式。有三个基本选项:VPN服务器在本地验证用户;使用Windows 2000 域安全性;或将安全验证工作转给RADIUS服务器。如果选择VPN服务器在本地验证用户，就要为VPN服务器建立一个工作组——类似于“Internet”这样的名字。如果使用活动目录并且用Windows 2000 域控制器进行验证，就要将VPN服务器加入到Windows 2000的域中。如果有一系列的VPN服务器，可能要使用一个RADIUS服务器(例如微软的Internet验证服务)来完成验证工作。在这个例子中，我们使用VPN服务器本地验证用户方式。

　　如果用户已经安装了Windows 2000服务器，那么依次打开“开始”　“程序”　“管理工具”　“路由和远程访问”，打开“路由和远程访问”窗口，如图A所示。然后，在相应服务器名的图标上单击，然后单击“操作”按钮，从结果菜单中选择“配置并启用路由和远程访问”。载入创建一个新服务器的向导。选择“手动配置服务器”，就会进入RRAS开始进行配置。向导可能会提示要选择VPN选项，但是用户可以根据自己的要求进行选择。VPN向导可能有一点古怪，最好在RRAS中手动配置基本的VPN设置，以便在将来可以知道如何进行问题跟踪和纠正。

图A

　　右击相应VPN服务器图标开始进行配置，选择“属性”。调出用户用来激活VPN服务器的主选项。在“常规”标签中，一定要选择“路由器”和“远程访问服务器”这两个复选框，选择“用于局域网和请求拨号路由选择”选项，如图B所示。切换到“安全”标签，如果VPN服务器自己作验证或者用户使用一个Windows域作验证的话，选择“Window 身份验证”。如果用户使用的是一个RADIUS服务器，选择“RADIUS身份验证”。对于“PPP”和“事件日志”标签中的信息，可以保留缺省设置或者根据需要进行选择。

　　在“IP”标签中的设置是非常重要的，如图C所示。需要复选“启用IP路由”和“允许基于IP的远程访问和请求拨号连接”复选框，然后在“IP地址分配”组中选择“动态主机配置协议(DHCP)”方式或“静态地址池”(在希望客户连接的子网内)方式。将“适配器”选项设置为连接用户LAN网络的适配器。“IP”标签中的设置是很重要的，因为这些设置规范了VPN接入客户接收到的IP地址和网络信息。在大多数情况下，建议使用DHCP方式为VPN用户配置地址信息。使用局域网内那个用户用来接收他们的IP信息的DHCP服务器，为VPN客户配置地址信息是特别高效的。VPN客户也能够接受静态IP地址，会在进行客户配置时看到。

图B

图C