| 任务 | 参考 |
|---|---|
了解主要概念。 |
|
收集所需信息。 |
|
在 RRAS 服务器的网络适配器上配置 TCP/IP。 |
|
安装 RRAS。 |
|
启用 RRAS 并将其配置为 VPN 服务器。 |
|
如果 RRAS 服务器位于外围防火墙后面,或者运行基于主机的防火墙(例如高级安全 Windows 防火墙),则配置所需的防火墙规则以允许虚拟专用网络 (VPN) 的网络通信通过防火墙进入 RRAS 服务器。 |
|
如果 RRAS 服务器没有位于外围防火墙后面,并且没有运行基于主机的防火墙(例如高级安全 Windows 防火墙),则配置静态数据包筛选器以只允许所需的 VPN 网络通信进入 RRAS 服务器。 |
|
配置 VPN 连接的类型,以及 VPN 服务器支持的每种 VPN 连接的数目。 默认情况下,此版本 Windows 中的 RRAS 各支持 128 个 Internet 密钥交换版本 2 (IKEv2)、第二层隧道协议 (L2TP)、点对点隧道协议 (PPTP) 和安全套接字隧道协议 (SSTP) 连接。如果在安装 RRAS 后启用 VPN,则会禁用 VPN 端口,并且 Windows 仅为每个连接类型创建五个连接。通过执行以下过程来启用端口并配置所需的连接数目。 |
|
为 VPN 客户端指定 DHCP 或配置静态 IP 地址池。 |
|
如果要使用 DHCP 为远程客户端提供 IP 地址,并且 DHCP 服务器与 RRAS 服务器位于不同的 IP 子网,则配置用于将广播 DHCP 请求和响应通过路由器转发至 DHCP 服务器的 DHCP 中继代理。 |
|
如果要使用网络策略服务器 (NPS) 集中管理 RRAS 服务器的策略,则为拨入权限、身份验证和加密设置配置拨入属性和网络策略。 |
请参阅网络策略服务器帮助中的“清单:为拨号和 VPN 配置 NPS”。 |
调整 RRAS 以及每个路由协议的日志记录级别。 |
|
(可选)创建连接管理器配置文件以管理用户的客户端连接体验并简化客户端连接的疑难解答。 |
|
如果您的 RRAS 配置需要任何用于身份验证的证书(例如,使用 IKEv2 或基于 SSTP 的 VPN 连接时),则必须拥有证书来源。在您的网络的服务器上安装 Active Directory 证书服务 (AD CS),以作为从第三方根 CA 采购证书的替代方法。 |
|
若要支持使用 SSTP 或 IKEv2 证书进行身份验证的 VPN 连接,则必须在 RRAS 服务器上正确安装包含服务器身份验证或所有用途增强型密钥使用 (EKU) 属性的计算机证书。 |
|
如果最初将 RRAS 服务器配置为仅支持 Internet 协议版本 4 (IPv4),则可以添加对 Internet 协议版本 6 (IPv6) 远程访问的支持。 |
|
(可选)配置 VPN 服务器使用网络访问保护 (NAP) 来强制实施运行状况要求策略。 |