安装 RRAS 服务器角色之后,它最初处于禁用状态。请使用第一个过程启用服务,并配置该服务以提供虚拟专用网络 (VPN) 服务。
如果已安装和启用了 RRAS,并且希望添加远程访问功能,请使用第二个过程。
本地 Administrators 组中的成员身份或同等身份是完成此过程所需的最低要求。
 | 启用 RRAS 并将其配置为 VPN 服务器的步骤 |
右键单击要启用路由的服务器名称,然后单击“配置并启用路由和远程访问”。如果使用的是服务器管理器,请右键单击“路由和远程访问”,然后单击“配置并启用路由和远程访问”。
在“欢迎使用”页上,单击“下一步”。
在“配置”页上,单击“远程访问(拨号或 VPN)”,然后单击“下一步”。
在“远程访问”页上,选择 VPN,然后单击“下一步”。
在“VPN 连接”页上,选择连接到公用 Internet 的网络接口,远程 VPN 客户端将通过该接口连接到此服务器。
若要配置数据包筛选器以限制通过指定公用网络适配器的网络访问,使其仅限 VPN 客户端需要的端口,请选择“通过设置静态数据包筛选器来对选择的接口进行保护”。此选项与使用高级安全 Windows 防火墙创建的防火墙规则不同。
重要 - 如果要改用防火墙保护 RRAS 服务器,请不要选择此选项。建议不要同时使用 RRAS 数据包筛选器和防火墙规则。
- 如果启用此选项,默认情况下将无法对公用网络适配器的 IP 地址执行 Ping 操作,因为此选项创建的数据包筛选器不允许 Internet 控制消息协议 (ICMP)。
在“网络选择”页上,选择将为远程 VPN 客户端授予其访问权限的专用网络。显示网络适配器及其 IP 地址可帮助您确定要选择的适配器。
在“IP 地址分配”页上,指定 RRAS 服务器将为远程 VPN 客户端获取 IP 地址的方式。如果拥有提供一个地址范围的 DHCP 服务器,则单击“自动”。如果希望 RRAS 服务器自己管理 IP 地址,则单击“来自一个指定的地址范围”。
注意 如果在步骤 9 中选择了“自动”,请跳过步骤 10。
在“地址范围分配”页上,单击“新建”,然后键入起始和结束 IP 地址以创建为远程 VPN 客户端分配的地址范围。如果需要,可以输入多个范围。创建地址范围后,单击“下一步”。
在“管理多个远程访问服务器”页上,选择是否要使用集中式 RADIUS 服务器对网络客户端进行身份验证。如果选择“否”,RRAS 将使用其本地帐户数据库,或者在 RRAS 服务器加入 Active Directory 域的情况下,RRAS 服务器将使用域帐户数据库。若要使用 Active Directory 域服务 (AD DS),则必须将 RRAS 服务器加入域,然后将该服务器的计算机帐户添加到该服务器所属域中的 RAS and IAS Servers 安全组中。域管理员可以使用“Active Directory 用户和计算机”或使用 netsh ras add registeredserver 命令将该计算机帐户添加到 RAS and IAS Servers 安全组。
在“完成”页上,单击“完成”。
| 配置现有 RRAS 服务器以支持 VPN 远程访问的步骤 |
打开服务器管理器。
展开“角色”,然后展开“网络策略和访问服务”。
右键单击“路由和远程访问”,然后单击“属性”。
选择“IPv4 远程访问服务器”和/或“IPv6 远程访问服务器”。
注意 如果选择“IPv6 远程访问服务器”,还必须指定 IPv6 前缀。在 IPv6 选项卡上的“此服务器分配下列 IPv6 前缀”中,键入服务器将分配给连接客户端的 64 位 IPv6 前缀。分配给客户端的地址是该前缀与客户端所选择的主机标识符(通常派生自 MAC 地址或随机生成)的组合。
提示您重新启动 RRAS 时,单击“是”。