安装网络原则服务器（NPS）角色

接下来我们必须先将网络管理服务器安装起来。请在开启系统管理工具选单中的“服务器管理员”接口以及在点选“角色”项目节点之后，点选“新增角色”连接。紧接着，将会出现“选取服务器角色”页面，勾选“网络原则与存取服务”项目，接下来在“选取角色服务”页面中，惟一勾选“网络原则服务器”的角色服务项目即可。

图2 勾选远程访问服务

安装设定VPN服务器

接下来我们对装有Windows Server 2008的VPN服务器进行安装与设置，在开始之前，必须先确认您已经完成这部服务器加入与登录到了内部的Active Directory网域中，并且已经正确设定了内外网卡的TCP/IP地址。

接下来请开启位于“开始→系统管理工具”下拉选单中的“服务器管理员”，然后在点选“角色”项目之后，点选位于主页面中的“新增角色”，执行后将会开启如图2所示的“选取服务器角色”页面，在此页面中勾选“网络原则与存取服务”项目，点选两次“下一步”继续。

在“选取角色服务”页面中，将惟一在“路由及远程访问服务”项目下的“远程访问服务”组件勾选安装即可。

完成远程访问服务角色安装之后，我们开始设定VPN服务器的各项设置。请在“开始→执行”对话框中输入rrasmgmt.msc，来开启“路由及远程访问”操作接面。在开启“路由及远程访问”界面之后，请在本地服务器的节点项目上点击鼠标右键，选择“设定和启用路由及远程访问”继续。

在“设定”页面中，选择“远程访问”项，然后在“远程访问”页面中，勾选“VPN”项目。在“VPN联机”页面中，选取对外提供VPN网络联机的网络接口，并且记着将“设定静态封包筛选器来启用选择接口的安全性”项目取消默认的勾选。

在“IP地址设置”页面中，可以选择勾选采用内部已经存在的DHCP服务器来配置IP地址给远程客户端计算机，或是选择“从指定范围的地址”来让VPN服务器帮助我们自动配置，因此如果您选择了这个选项，紧接着在下一步的页面中设定一个IP地址范围。接下来在“正在管理多个远程访问服务器”的页面中，选择“是，设定这台服务器与Radius服务器一起工作”项。

图3 通讯协议及端口设定

在“Radius服务器选取项目”的页面中，我们必须在“主要的Radius服务器”字段中，输入Radius服务器的IP地址，然后在下方的共享密码字段中，输入与后续在Radius客户端设定时所配置的密码一样即可。

在VPN服务器高级设置部分，请在点选VPN服务器节点之后，按下鼠标右键，点选“内容”，接着请切换到“安全”页面中，点选“验证方法”，然后在此窗口中确认“可延伸的验证通讯协议（EAP）”项目与“Microsoft加密验证版本2（MS-CHAP v2）”的项目已经选取。最后请点选“EAP方法”按钮，然后确认“Protected EAP（PEAP）”项目已经安装。

3.VPN与Windows防火墙的整合设定

完成了VPN服务器的设置之后，为了确保主机本身的安全性，我们通常会将系统内建的Windows防火墙给予启用，如此一来，虽然系统会自动让VPN的客户端可以联机，但是如果在我们进行联机之前，可以确定VPN客户端与VPN服务器的基本联机是没有问题的，那么将有助于在联机测试上的排错工作。

确认VPN客户端与VPN服务器的基本联机没有问题的最佳方法，就是通过Ping命令来进行测试，因此在接下来我们针对VPN服务器上的Windows防火墙设置，来开放ICMPv4的通讯协议与通讯端口，以便于VPN客户端可以接收到Ping测试时的正常联机响应。请在高级安全性的Windows防火墙管理页面，在位于“输入规则”项目节点上点击鼠标右键，选择“新规则”继续。接下来将会开启“新增输入规则向导”的页面，首先在“规则类型”页面中选取“自定义”之后，在“程序”页面中，选取“所有程序”。

接下来在“通讯协议及端口设定”页面（如图3），请在“通讯协议类型”页面中选取“ICMPv4”，在“领域”页面请保持在预设的设置。在“执行动作→操作”的页面中，请选取“允许该联机”设定。在“配置文件”的页面中，请保留预设的三项配置文件都在选取的状态下即可。点选“下一步”继续。最后请在“名称”的页面中输入一个惟一的规则识别名称即可。