本文件逐步說明如何安裝虛擬私人網路 (VPN),以及如何在執行 Windows Server 2003
的伺服器上建立新的 VPN 連線。
您可以藉由虛擬私人網路,透過其他網路 (如網際網路) 來連接網路元件。 您可將 Windows
Server 2003 型的電腦做為遠端存取伺服器,如此則其他的使用者便可使用 VPN 來與它連線,然後能夠登入網路並存取共用資源。 VPN
以網際網路或其他公用網路作為「通道」,在某種程度上提供與私人網路相同的安全性及功能。
資料在公用網路上是利用路由基礎結構來傳送,但對使用者而言,資料卻像是經由專屬私人連結來傳送。
VPN 概觀
虛擬私人網路是一種經由公用網路 (例如網際網路) 途徑來連線至私人網路 (例如您的辦公室網路) 的方法。 VPN
結合撥號連線至撥號伺服器的優點及網際網路連線的簡易與彈性。
透過網際網路連線,當您於世界各地旅行期間,在大多數地方仍可利用當地電話撥接至最近的網際網路存取電話號碼,連線至您的辦公室。
如果您的電腦和辦公室擁有高速的網際網路連線 (例如,寬頻或 DSL),即可以全速的網際網路和您的辦公室通訊,這會比任何使用類比數據機的撥號連線快上許多。
這項科技允許企業在維護安全通訊的同時,還可以透過公用網路連線至其分公司或其他公司。 網際網路間的 VPN 連線,會以固定的廣域網路 (WAN)
連結進行邏輯性操作。
虛擬私人網路使用通過驗證的連結以確保唯有經過授權的使用者才可以連線至您的網路。
為了確保資料在透過公用網路傳遞時的安全性,VPN 連線使用「點對點通道通訊協定」(PPTP) 或「第二層通道通訊協定」(L2TP)
加密資料。
VPN 元件
執行 Windows Server 2003 之伺服器中的 VPN 是由 VPN 伺服器、VPN 用戶端、VPN 連線
(此連線部份中為加密資料) 及通道 (此連線部份中為壓縮資料) 所組成。 通道是經由包含執行 Windows Server 2003
之伺服器的其中一種通道通訊協定所完成,兩者都會安裝「路由及遠端存取」。 在安裝 Windows Server 2003
過程中,會自動安裝路由及遠端存取服務。不過依預設,路由及遠端存取服務應是關閉的。
Windows 中包含的兩種通道通訊協定為:
- 點對點通道通訊協定 (PPTP): 提供以「Microsoft 點對點加密」做資料加密。
- 「第二層通道通訊協定」(L2TP): 提供使用 IPSec 的資料加密、驗證及整合。
與網際網路的連線必須使用固定的線路,例如 T1、分數 T1 或框架轉接。 WAN
介面卡必須是由指派給您的網域,或網際網路服務提供者 (ISP) 所提供的 IP 位址及子網路遮罩來設定。 另外也必須將 WAN 介面卡設定成為 ISP
路由器的預設閘道。
注意: 若要開啟 VPN,必須以擁有系統管理權限的帳戶登入。
如何安裝並開啟 VPN 伺服器
若要安裝並開啟 VPN 伺服器,請遵循下列步驟:
- 按一下 [開始],指向 [系統管理工具],再按一下 [路由及遠端存取]。
- 在主控台左方窗格中按一下與本機伺服器名稱對應的伺服器圖示。如果圖示左下角有一個紅色圈圈,表示路由及遠端存取服務尚未啟用。如果圖示左下角有一個往上指的綠色箭頭,表示路由及遠端存取服務已經啟用。如果路由及遠端存取服務先前已啟用,您可能需要重新設定伺服器。
若要重新設定伺服器,請遵循下列步驟:
- 在伺服器物件上按一下滑鼠右鍵,再按一下
[停用路由及遠端存取]。當畫面上出現資訊訊息的提示時,請按一下 [是] 繼續進行。
- 以滑鼠右鍵按一下伺服器圖示,再按一下 [設定和啟用路由及遠端存取] 以啟動
[路由及遠端存取伺服器安裝精靈]。 按一下 [下一步] 繼續進行。
- 按一下 [遠端存取 (撥號或 VPN)]
以啟用遠端電腦,透過網際網路來撥接或連線至這個網路。 按一下 [下一步] 繼續進行。
- 依據您想要指派給這個伺服器的角色而定,按一下以選取 [VPN] 或 [撥號]。
- 在 [VPN 連線] 視窗中,按一下連線至網際網路的網路介面,再按 [下一步]。
- 在 [IP 位址指派] 視窗中,若要使用 DHCP 伺服器,將位址指派給遠端用戶端,請按一下 [自動],或者,如果只能給予遠端用戶端預先定義集區的位址,請按一下
[從指定範圍的位址]。在大部份情況下,DHCP 選項比較容易管理。但若 DHCP
無法使用,您就必須指定一個靜態位址的範圍。按一下 [下一步] 繼續進行。
- 若您按一下 [從指定範圍的位址],則會開啟 [位址範圍指派] 對話方塊。按一下 [新增]。在 [開始 IP 位址] 方塊中輸入要使用之位址範圍的第一個 IP 位址。在
[結束 IP 位址] 方塊中輸入位址範圍的最後一個 IP 位址。Windows 會自動計算位址的數目。按一下 [確定] 以返回 [位址範圍指派] 視窗。 按一下 [下一步] 繼續進行。
- 接受預設設定否,使用路由及遠端存取以驗證連線要求,然後按一下 [下一步] 繼續進行。 按一下 [完成] 以啟用路由及遠端存取服務,並將伺服器設定成為遠端存取伺服器。
如何設定 VPN 伺服器
若要繼續依需要設定 VPN 伺服器,請遵循下列步驟。
如何將遠端存取伺服器設定為路由器
為了讓遠端存取伺服器能夠在網路中正確轉送傳輸,您必須將其設定成為含有靜態路由或路由通訊協定的路由器,以便能從遠端存取伺服器存取內部網路中的所有位置。
若要將伺服器設定成為路由器,請遵循下列步驟:
- 按一下 [開始],指向 [系統管理工具],再按一下 [路由及遠端存取]。
- 在伺服器名稱上按一下滑鼠右鍵,再按 [內容]。
- 按一下 [一般] 標籤,然後按一下以選取 [將這台電腦啟用為] 下的 [路由器]。
- 按一下 [LAN 及 指定撥號路由],再按 [確定] 以關閉 [內容] 對話方塊。
如何修改同時連線的數目
撥接數據機連線的數目是根據安裝在伺服器上的數據機數目而定。
例如,如果您的伺服器上只安裝一部數據機,則一次只能有一個數據機連線。
撥號 VPN
連線的數目是根據您想同時允許的使用者數目而定。在預設情況下,當您執行本文件所描述的程序時,可允許 128 個連線。 若要變更同時連線的數目,請遵循下列步驟:
- 按一下 [開始],指向 [系統管理工具],再按一下 [路由及遠端存取]。
- 按兩下伺服器物件,以滑鼠右鍵按一下 [連接埠],然後按一下 [內容]。
- 在 [連接埠內容] 對話方塊中,按一下 [WAN Miniport (PPTP)],然後按一下 [設定]。
- 在 [最多的連接埠數目] 方塊中,輸入您想允許的 VPN 連線數目。
- 按一下 [確定],再按一次 [確定],然後關閉路由及遠端存取。
如何管理位址與命名伺服器
VPN 伺服器必須具備可用的 IP 位址,以便在連線處理的「IP 控制通訊協定」(IPCP) 交涉階段中,將可用的 IP 位址指派給
VPN 伺服器的虛擬介面及 VPN 用戶端。 指派給 VPN 用戶端的 IP 位址也會指派給 VPN 用戶端的虛擬介面。
若為
Windows Server 2003 型的 VPN 伺服器,則依預設會透過 DHCP 以取得指派給 VPN 用戶端的 IP 位址。 您也可以設定靜態 IP
位址集區。 VPN 伺服器也必須以名稱解析伺服器來進行設定,通常為 DNS 與 WINS 伺服器位址,以便在 IPCP 交涉中指派給 VPN 用戶端。
如何管理存取權限
設定使用者帳戶與遠端存取原則的撥入內容,以便管理撥號網路及 VPN 連線的存取權限。
注意: 依預設,會拒絕使用者存取撥號網路。
以使用者帳戶進行存取
如果以使用者為基礎來管理遠端存取權限時,若要授予使用者帳戶撥入存取權限,請遵循下列步驟:
- 按一下 [開始],指向 [系統管理工具],再按一下 [Active Directory 使用者和電腦]。
- 以滑鼠右鍵按一下使用者帳戶,然後按一下 [內容]。
- 按一下 [撥入] 標籤。
- 按一下 [允許存取] 以授予使用者撥入許可權。按一下 [確定]。
以群組成員資格進行存取
如果以群組為基礎來管理遠端存取權限時,請遵循下列步驟:
- 建立包含允許建立 VPN 連線之成員的群組。
- 按一下 [開始],指向 [系統管理工具],再按一下 [路由及遠端存取]。
- 在主控台樹狀目錄中,依序展開 [路由及遠端存取] 及伺服器名稱,再按 [遠端存取原則]。
- 以滑鼠右鍵按一下任何一處右方窗格,指向 [新增],然後按一下 [遠端存取原則]。
- 按一下 [下一步],輸入原則名稱,然後按一下 [下一步]。
- 按一下 [虛擬私人存取] 存取方法的 [VPN],或按一下撥號存取的 [撥號],然後按一下 [下一步]。
- 按一下 [新增],輸入您在步驟 1 中建立的群組名稱,然後按一下 [下一步]。
- 請遵循螢幕上的指示完成精靈。
若 VPN 伺服器已經允許撥號網路進行遠端存取服務,請勿刪除預設原則。
相反地,請將其移動讓它成為評估的最後原則。
如何設定用戶端電腦的 VPN 連線
若要設定 VPN 連線,請遵循下列步驟。 若要設定用戶端的虛擬私人網路存取,請在用戶端工作站上執行下列步驟:
注意: 您必須以 Administrator 群組的成員身份登入,並遵循下列步驟。
注意:由於 Microsoft Windows 有許多版本,下列步驟可能與您電腦上的操作有所不同。
若是這樣,請參閱您的產品文件以完成這些步驟。
- 請在用戶端電腦上,確認網際網路的連線已經設定正確。
- 依序按一下 [開始] 及 [控制面板],再按 [網路連線]。 按一下 [網路工作] 下的 [建立新的連線],再按 [下一步]。
- 按一下 [連線到我工作地方的網路] 以建立撥號連線。 按一下 [下一步] 繼續進行。
- 按一下 [虛擬私人網路連線],再按 [下一步]。
- 在 [公司名稱] 對話方塊中輸入這個連線的描述性名稱,再按一下 [下一步]。
- 如果電腦是永久連線至網際網路,請按一下 [不要撥接起始連線]。 如果電腦是透過「網際網路服務提供者」(ISP) 連線至網際網路,請按一下
[自動撥接這個起始連線],再按 ISP 的連線名稱。 按一下 [下一步]。
- 輸入 VPN 伺服器電腦的 IP 位址或主機名稱
(例如,VPNServer.SampleDomain.com)。
- 若您想要允許任何登入工作站的使用者都可以存取這個撥號連線,請按一下
[任何人使用]。如果希望這個連線只有目前登入的使用者能夠使用,請按一下 [只有我自己]。
按一下 [下一步]。
- 按一下 [完成] 以儲存這個連線。
- 依序按一下 [開始] 及 [控制面板],再按 [網路連線]。
- 按兩下新的連線。
- 按一下 [內容] 繼續設定連線選項。 若要繼續設定連線選項,請遵循下列步驟:
- 如果正在連線至網域中,請按一下 [選項] 標籤,再按一下以選取 [包含 Windows 登入網域]
核取方塊以指定是否要在嘗試連線前,先要求 Windows Server 2003 登入網域資訊。
- 如果線路中斷時希望重撥這個連線,請按一下 [選項] 標籤,再按一下選取 [斷線後重新撥號] 核取方塊。
若要使用連線,請遵循下列步驟:
- 按一下 [開始],指向 [連線到],再按一下新的連線。
- 如果您目前沒有連線至網際網路,Windows 會提供網際網路的連線。
- 完成網際網路的連線時,VPN 伺服器會提示您的使用者名稱和密碼。輸入使用者名稱與密碼,然後按一下 [連線]。
您的網路資源必須以與直接連線至網路的相同方式提供使用。注意: 若要中斷 VPN 連線,請在連線圖示上按一下滑鼠右鍵,然後再按 [中斷連線]。
疑難排解
遠端存取 VPN 的疑難排解
[無法建立遠端存取 VPN 連線]無法傳送與接收資料- 原因: 尚未將適當的指定撥號介面新增至路由的通訊協定。
解決方案: 請將適當的指定撥號介面新增至路由的通訊協定。
如需關於如何新增路由介面的詳細資訊,請參閱 Windows
Server 2003 說明及支援中心。 按一下 [開始] 以存取 Windows Server 2003 說明及支援中心。 - 原因: 支援雙向交換傳輸之路由器對路由器 VPN 連線的兩端都沒有路由。
解決方案: 不同於遠端存取 VPN 連線,路由器對路由器 VPN 連線並不會自動建立預設路由。 請在路由器對路由器 VPN
連線的兩端建立路由,使傳輸得以在路由器對路由器 VPN 連線的兩端之間往返路由。
您可以手動將靜態路由新增至路由表,或者也可以透過路由通訊協定來新增靜態路由。 若為持續 VPN 連線,您可以啟用 VPN
連線間的「先開啟最短的路徑」(OSPF) 或「路由資訊通訊協定」(RIP)。 若為指定 VPN 連線,您可以經由自動靜態 RIP 更新來自動更新路由。
如需關於如何新增 IP 路由通訊協定、如何新增靜態路由,以及如何執行自動靜態更新的詳細資訊,請參閱 Windows Server 2003 說明及支援中心。
按一下 [開始] 以存取 Windows Server 2003 說明及支援中心。 - 原因: 雙向初始化,作為遠端存取連線的接聽路由器正在解譯路由器對路由器 VPN 連線。
解決方案: 如果呼叫路由器憑證中的使用者名稱顯示在路由及遠端存取中的 [撥入用戶端],則接聽路由器可能會將呼叫路由器解譯為遠端存取用戶端。 請確認呼叫路由器憑證中的使用者名稱相對應於接聽路由器上的指定介面名稱。
如果連入呼叫器為路由器,則接聽到呼叫的連接埠會顯示為「使用中」狀態,而相對應的指定介面則為「已連線」狀態。
如需關於如何檢查接聽路由器上之連接埠狀態,以及如何檢查指定介面狀態的詳細資訊,請參閱 Windows
Server 2003 說明及支援中心。 按一下 [開始] 以存取 Windows Server 2003 說明及支援中心。 - 原因: 呼叫路由器與接聽路由器之指定介面上的封包篩選器阻止了傳輸流程。
解決方案: 請確認在呼叫路由器與接聽路由器之指定介面上,不存在會阻止傳輸之傳送與接收的封包篩選器。 您可以設定每一個含有 IP 及 IPX
輸入與輸出篩選器的指定介面,以控制允許進出指定介面的 TCP/IP 及 IPX 傳輸的正確特性。
如需關於如何管理封包篩選器的詳細資訊,請參閱 Windows Server 2003 說明及支援中心。 按一下 [開始] 以存取 Windows Server 2003 說明及支援中心。 - 原因: 遠端存取原則上的封包篩選器阻止了 IP 傳輸流程。
解決方案: 請確認 VPN 伺服器 (若使用「網際網驗證服務」則為 RADIUS 伺服器) 上的遠端存取原則之設定檔內容中,並沒有設定為阻止
TCP/IP 傳輸之傳送與接收的 TCP/IP 封包篩選器。 您可以使用遠端存取原則來設定 TCP/IP 輸入與輸出封包篩選器,此封包篩選器可以控制 VPN
連線所允許之 TCP/IP 傳輸的正確特性。 請確認設定檔 TCP/IP 封包篩選器不會阻止傳輸流程。
如需關於如何設定 IP
選項的詳細資訊,請參閱 Windows Server 2003 說明及支援中心。 按一下 [開始] 以存取 Windows Server 2003 說明及支援中心。
文章編號: 323441 - 上次校閱: 2003年7月7日 - 版次: 6.1
這篇文章中的資訊適用於:
- Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
- Microsoft Windows Server 2003, Standard Edition (32-bit x86)
| kbhowto kbhowtomaster kbnetwork KB323441 |
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。
回此頁最上方
