在當今的地理位置分散的業務環境中，遠程訪問不再是奢侈品，而成為了必需品。從全職遠程辦公者到頻繁旅行的高管和銷售人員，再到有時需要在家辦公的員工，用戶需要在辦公室以外能夠連接到公司網絡。Windows Server 2008 R2 為您提供了更加豐富的選擇，可供您選擇最適合您機構需求的遠程訪問解決方案。

您可以選擇使用傳統的點對點隧道協議 (PPTP) 或基于 IPsec 的第 2 層傳輸協議 (L2TP/IPsec) 虛擬專用網絡 (VPN) 連接，也可以選擇使用安全套接字隧道協議 (SSTP) 的安全套接字層 (SSL) 加密的 HTTP VPN 連接?；蛘?，您可以選擇被稱為“VPN 重新連接”的使用 Internet 密鑰交換版本 2 (IKEv2) 的 Internet 協議安全性 (IPSec) 隧道模式。最后，您可以選擇使用被稱為“VPN 終結者”的 DirectAccess 來代替虛擬專用網絡，使用戶能夠更輕松、透明地進行連接，并使管理員能夠更好地控制遠程計算機。在本文中，我們將介紹可部署的每一項解決方案及其各自的優缺點。

請注意，選擇過程的一部分是確定特定的遠程訪問技術能否使客戶端確實能夠從其可能漫游到的位置進行連接。例如，如果您的客戶端計算機漫游到其他人的防火墻之后，則通常 PPTP 和 L2TP 會被阻止。Windows Server 2008 R2 路由和遠程訪問 (RRAS) 通過 RRAS MMC 管理單元配置。請注意，如果安裝了網絡策略服務器 (NPS) 角色，您必須使用該角色配置身份驗證和記帳提供程序，以及創建或修改連接請求策略。該 NPS 角色通過 NPS MMC 管理單元配置。NPS 可用作 RADIUS 服務器、RADIUS 代理和/或網絡訪問保護 (NAP) 策略服務器。

本文內容：

• 傳統的 PPTP 或 L2TP/IPsec VPN
• 使用 SSTP 的 SSL 加密的 HTTP VPN
• 使用 IKEv2 和 VPN 重新連接的 IPsec 隧道模式
• 超越 VPN：DirectAccess 

傳統的 PPTP 或 L2TP/IPsec VPN

PPTP 是 Windows 支持的首個 VPN 協議，且 Windows Server 2008 R2 RRAS 仍包含對遠程訪問 VPN PPTP 服務器的支持。L2TP/IPsec 在 Windows 2000 Server 中引入。PPTP 使用點對點 (PPP) 協議進行身份驗證，并使用 Microsoft 點對點加密 (MPPE) 進行數據加密。出于安全考慮，通常 PPTP 不會用于現代 VPN 部署，但它具有易于部署的優點。如果您選擇對您的 VPN 使用 PPTP，通常您需要執行以下操作：

1. 確定放置 VPN 服務器的網絡位置，例如放置在本地網絡與 Internet 之間的外圍網絡中。
2. 使用兩個 NIC 配置 VPN 服務器，一個用于外部網絡，另一個用于內部網絡。
3. 配置邊緣防火墻，以允許 PPTP 與 VPN 服務器的外部 NIC 之間的數據傳輸，包括 GRE（IP 協議 47）和 TCP 端口 1723。
4. 配置 RRAS 以允許 Internet 與本地網絡之間的轉發。
5. 將 DNS 地址記錄添加到 DNS 服務器，從而可將 VPN 服務器名稱解析為其公共 IP 地址。
6. 配置 Active Directory，以支持連接 VPN 服務器的用戶進行遠程訪問。
7. 配置 VPN 客戶端。

Microsoft 的 L2TP/IPsec 能夠提供更出色的安全性；除 PPP 身份驗證方法外，它還使用 IPsec 進行計算機相互身份驗證。但是，部署 IPsec 需要使用證書，這要求具備公鑰基礎結構 (PKI)，因此如果您尚未部署該基礎結構，這一過程會比較復雜。（對于 PPTP，如果您正在使用智能卡身份驗證或 EAP-TLS 身份驗證，您只需要一個 PKI）。如需對用戶訪問進行更精細的控制，可使用 Internet 身份驗證服務 (IAS) 服務器，它使用遠程訪問撥號用戶服務 (RADIUS) 協議進行集中身份驗證、授權和記帳。部署 L2TP/IPsec 的步驟如下：

1. 使用至少一個證書頒發機構 (CA) 來部署 PKI。大型機構通常會采用兩級或三級 CA 層次結構，而小型機構可使用一個 CA 作為根 CA 以及發行 CA。
2. 在驗證 VPN（或 IAS）服務器上安裝計算機證書。
3. 在 VPN 客戶端計算機上安裝用戶和計算機證書。
4. 確定放置 VPN 服務器的網絡位置，例如放置在本地網絡與 Internet 之間的外圍網絡中。
5. 使用兩個 NIC 配置 VPN 服務器，一個用于外部網絡，另一個用于內部網絡。
6. 配置邊緣防火墻，以支持 L2TP/IPsec 與 VPN 服務器的外部 NIC 之間的數據傳輸。
7. 配置 RRAS 以允許 Internet 與本地網絡之間的轉發。
8. 將 DNS 地址記錄添加到外部 DNS 服務器，從而將 VPN 服務器名稱解析為其公共 IP 地址。
9. 配置 Active Directory，以支持連接 VPN 服務器的用戶進行遠程訪問。
10. 配置 VPN 客戶端。

請注意，雖然可將 L2TP/IPsec 配置為支持預共享密鑰身份驗證，但此方法與基于 PKI 的解決方案相比安全性與可伸縮性較差。

在 PPTP 和 L2TP/IPsec 部署中，如果使用 RADIUS 身份驗證，則您需要配置 Internet 身份驗證服務 (IAS) 服務器、創建遠程訪問策略，并將 VPN 服務器作為 IAS 服務器的遠程身份驗證撥號用戶服務 (RADIUS) 客戶端添加。#p#

使用 SSTP 的 SSL 加密的 HTTP VPN

SSL 最初作為基于 Web 的協議引入，用于使用非對稱加密創建客戶端與服務器之間的安全連接。它通常由網站用來保護金融和其他私人交易的安全。傳統上，SSL 加密的網站會使用以 https: 而不是 http: 開頭的 URL。當今，實際上有兩種不同的技術被統稱為“SSL VPN”。第一種技術是應用程序特定的 VPN，用于發布供用戶使用瀏覽器作為客戶端連接的基于 Web 的應用程序，其中應用程序流量在受 SSL 保護的 HTTP 內傳輸。

SSL 還可用于為遠程訪問連接創建 VPN 隧道。第二種技術與傳統的 VPN 更為相像，其中客戶端計算機發送的所有流量均封裝在受 SSL 保護的 HTTP 內，并發送至組織的 Intranet。SSL 隧道可用于訪問非 Web 應用程序。SSL VPN 流行的部分原因在于無需安裝胖 VPN 客戶端（SSTP 客戶端目前內置在 Windows 中），而且它們被認為比傳統的 VPN 更具用戶友好性。

SSL 在 OSI 網絡模型的應用層運行。它的一大優勢在于大多數防火墻和代理支持通過端口 443 傳輸 SSL 流量，因此無需對防火墻進行特殊配置即可使用。有些 Internet 服務提供商不支持基本路由封裝 (GRE) 封裝的數據包（用于 PPTP），因而可能導致出現防火墻、Web 代理和網絡地址轉換 (NAT) 問題。同樣，IKE 流量和 L2TP/IPsec 所用的封裝式安全措施負載 (ESP) 封裝的數據包可能無法通過受防火墻、代理和 NAT 限制的一些端口。

隨著基于 SSL 的 VPN 成為行業趨勢，Microsoft 在 Windows Server 2008/Vista SP1 中引入了使用 SSL VPN 協議的 PPP 以及安全套接字隧道協議 (SSTP)。它被集成到 RRAS 并實際上使用 SSL 的繼承者 - 傳輸層安全性 (TLS)。SSTP 可處理 IPv4 和 IPv6 數據包。它支持網絡訪問保護 (NAP)，并可以使用與 PPTP 和 L2TP（例如 EAP-TLS）相同的身份驗證協議；但是，它僅用于遠程客戶端訪問，且不支持站點到站點 VPN。

SSTP 服務器必須具有一個網站證書（旨在實現“服務器身份驗證”的目的），以供 SSTP 客戶端在建立 SSL 會話期間對服務器進行驗證。SSTP 客戶端必須信任 SSTP VPN 服務器使用的證書。這意味著必須在 SSTP 客戶端上安裝根 CA 的證書。建立 SSL 會話之后將進行用戶身份驗證，從而保護加密的隧道內的憑據。

SSTP 部署所涉及的步驟取決于特定配置。下文包含了各種特定情況的詳細信息：

• 如何部署使用 NAT 路由器的基于 SSTP 的 VPN 服務器
  http://blogs.technet.com/rrasblog/archive/2007/09/26/how-to-deploy-sstp-based-vpn-server-behind-a-nat-router.aspx
• 如何部署使用 SSL 終止器的基于 SSTP 的 VPN 服務器
  http://blogs.technet.com/rrasblog/archive/2007/03/07/configuring-sstp-in-a-reverse-proxy-scenario.aspx
• 如何部署使用網絡負載平衡 (NLB) 的基于 SSTP 的 VPN 服務器
  http://support.microsoft.com/kb/947029
• 如何在同一臺計算機上部署基于 SSTP 的 VPN 服務器與 Internet 信息服務 (IIS)
• http://blogs.technet.com/rrasblog/archive/2007/11/08/configuring-iis-on-the-sstp-server-implications-and-how-to-resolve.aspx

請注意，SSL VPN 服務器不需要部署 IIS，因為它通過 HTTP.SYS 直接偵聽 HTTPS。#p#

使用 IKEv2 和 VPN 重新連接的 IPsec 隧道模式

Windows Server 2008 R2 中的 RRAS 與 Windows 7 客戶端共同支持新的隧道協議：使用 Internet 密鑰交換版本 2 (IKEv2) 的 IPsec 隧道模式。通過當用戶臨時失去 Internet 連接時自動重建連接的方式，該模式使 VPN 連接更加可靠，特別是當客戶端計算機更改其 IP 地址時。當使用無線移動連接時，這種情況會經常發生。對于傳統的 VPN，用戶需要在重新連接到 Internet 后手動重新連接 VPN，但借助 VPN 重新連接，可自動重新連接 VPN，無需用戶執行任何操作。

部署采用 IKEv2 和 VPN 重新連接的 IPsec 隧道模式的典型步驟如下所示：

1. 配置 EAP 或部署 PKI，至少應具有一個證書頒發機構 (CA)。大型機構通常會采用兩級或三級 CA 層次結構，而小型機構可使用一個 CA 作為根 CA 以及發行 CA。
2. 使用兩個 NIC 配置 VPN 服務器，一個用于外部網絡，另一個用于內部網絡。
3. 在 VPN 服務器上安裝根 CA 證書。
4. 請求服務器身份驗證證書并將其安裝在 VPN 服務器上（該證書帶有服務器身份驗證和 IP 安全性 IKE 中間擴展密鑰使用選項），同時確保該證書位于計算機存儲區中。
5. 在 VPN 服務器上安裝 RRAS 角色。
6. 如果 VPN 服務器還作為網絡策略服務器使用，需要安裝 NPS 角色。
7. 配置 RRAS，使該服務器成為 VPN 服務器。
8. 配置網絡策略服務器，以啟用和配置 IKEv2 VPN 連接的遠程訪問策略（注意，如果使用基于 EAP 的身份驗證，則需要配置 NPS。如果使用計算機證書身份驗證，則不需要配置 NPS）。

要配置 Windows 7 客戶端，需要首先使用網絡和共享中心的“設置新的連接或網絡”向導來創建 VPN connectoid。創建 connectoid 之后，可在網絡和共享中心的左窗格中單擊“更改適配器設置”、右鍵單擊該 VPN 連接并選擇“屬性”，從而找到該 connectoid。在“安全性”選項卡中，需要從“VPN 類型”的下拉菜單中選擇 IKEv2。您可以使用任意支持的數據加密類型。對于身份驗證，您可以使用 EAP 或 X.509 計算機證書。然后單擊“高級設置”，并確保選中了“移動性”復選框。VPN 重新連接支持 IPv4 或 IPv6。#p#

超越 VPN：DirectAccess

DirectAccess 是 Windows Server 2008 R2 和 Windows 7 的新功能，它被認為是遠程訪問的未來以及 VPN 的最終替代方案，尤其是在企業管理的計算機領域。雖然 VPN 重新連接使用戶能夠實現無縫重建 VPN，但 DirectAccess 的功能更加強大，能夠從最開始實現公司網絡的無縫連接。用戶不再需要 VPN，因為他們在連接 Internet 的情況下可隨時自動連接到公司網絡，即便當他們使用 Web 代理或端口受限的防火墻時也是如此。DirectAccess 不僅提高了用戶易用性，還簡化了管理員工作。利用 DirectAccess，您能夠更好地控制連接到公司網絡的計算機，并在這些計算機連接到 Internet 時隨時更新其組策略或軟件，即便用戶未登錄。

與各種類型的 VPN 相比，DirectAccess 的另一項優勢是安全性。DirectAccess 采用 IPv6 代替 IPsec，并支持多因素身份驗證。IPsec 身份驗證用于用戶和計算機，而智能卡則可用于用戶身份驗證。雖然 DirectAccess 使用 IPv6，但客戶端計算機仍能夠連接到使用 IPv4 Internet 的公司網絡上的 DirectAccess 服務器。DirectAccess 服務器可以是 Windows Server 2008 R2 服務器或 Forefront Unified Access Gateway (UAG)。

此外，還可以將 DirectAccess 配置為使 Internet 流量與 Intranet 流量分離。這樣 Internet 通信不必通過內部網絡然后再返回 Internet，避免了大多數 VPN 存在的問題。這意味著性能的提升。除這種默認配置外，如果需要，您也可以選擇通過 DirectAccess 服務器發送 Internet 流量。您還可以配合使用 Windows 防火墻的出站規則與高級安全功能，以控制哪些應用程序可以與 Internet 通信以及可連接到哪些內部子網客戶端。

DirectAccess 使用兩個 IPsec 隧道。第一個是封裝式安全措施負載 (ESP) 隧道，它采用計算機證書和計算機帳戶 NTLMv2 身份驗證來訪問 DNS 服務器、域控制器以及其他管理服務器，例如用于網絡訪問保護 (NAP) 和軟件更新的服務器，這樣可以在用戶登錄前對計算機進行管理。第二個隧道也使用計算機證書，但同時使用用戶憑據來通過 Kerberos 驗證用戶身份以及訪問公司網絡上的資源和應用程序?？蛻舳瞬捎枚说蕉嘶蚨说竭叺?IPsec 加密連接到網絡資源。前者能夠提供更高的安全性，但應用程序服務器必須運行 Server 2008/2008 R2 并啟用 IPv6 以及 IPsec。端到邊連接涵蓋從客戶端到網關（DirectAccess 服務器），然后以未保護的方式將數據包發送至公司網絡中的應用程序服務器。這種連接的優勢在于您不需要在內部網絡上部署 IPsec 和 IPv6，并且可以連接到僅采用 IPv4 的服務器（如果您使用 Forefront UAG 及其 NAT64/DNS64 技術）。DirectAccess 客戶端必須運行 Windows 7 Enterprise 或 Ultimate 版。

要部署 Windows Server 2008 R2 DirectAccess，您必須：

1. 部署 PKI 以頒發計算機證書（如果使用智能卡和 NAP 技術，還需要頒發智能卡證書和 NAP 健康證書），并進行配置，以自動注冊計算機證書。
2. 部署網絡位置服務器（實際上就是 SSL 網站），由 DirectAccess 客戶端用來確定其是否處于公司網絡中。
3. 確保 DirectAccess 服務器與一個 Active Directory 域相連接，其中至少一個域控制器和一個 DNS 服務器運行 Windows Server 2008/2008 R2。
4. 為 DirectAccess 客戶端與（可選）選定服務器創建 AD 安全組。
5. 配置防火墻數據包篩選。
6. 使用兩個 NIC 配置 DirectAccess 服務器，一個連接到 Internet，另一個連接到內部網絡。
7. 在外部 NIC 上配置至少兩個連續的公共 IP 地址。
8. 將 DNS 地址添加到面向內部和外部 (Internet) DNS 服務器，這樣 DirectAccess 客戶端就能夠定位服務器組件。
9. 在 DirectAccess 服務器上安裝使用計算機身份驗證增強型密鑰用法 (EKU) 的計算機證書（用于 IPsec 的身份驗證）。
10. 安裝 SSL 證書以用于 IP-HTTPS 身份驗證。

DirectAccess 安裝向導將引導您完成針對 Intranet 訪問、選定的服務器訪問或端到端訪問配置 DirectAccess 服務器的相關步驟。有關在上述情況下如何部署 Windows Server 2008 R2 DirectAccess 的詳細說明，請參見《DirectAccess 部署指南》，網址為：http://technet.microsoft.com/zh-cn/library/ee649163(WS.10).aspx

請特別注意，Windows DirectAccess 解決方案并非設計用于企業環境，因為其缺少對數組、高可用性、集中配置以及非 IPv6 資源的支持。如果企業希望部署 DirectAccess，Microsoft 推薦使用 Forefront UAG DirectAccess。Forefront UAG DirectAccess 包括一些技術增強功能，使 DirectAccess 能夠滿足企業的需求。有關 UAG DirectAccess 部署方案和注意事項的詳細信息，請參見《UAG DirectAccess 設計指南》，網址為：http://technet.microsoft.com/zh-cn/library/ee406191(en-us).aspx

小結

Windows Server 2008 R2 提供了比以往更為豐富的遠程訪問選擇方案。我們提供從例如撥號遠程訪問的舊式方法到最現代的 DirectAccess 技術，供您根據您機構的需求選擇提供公司網絡遠程用戶訪問的最佳方式，包括帶寬考慮、現有的基礎結構、兼容性問題、用戶和管理易用性以及其他相關需求等。最佳實踐是結合這些方法，為您的用戶提供最靈活的遠程訪問體驗。例如，如果您機構的計算機已連接到 Active Directory 域，可對它們進行配置以使用 DirectAccess，并設置 Windows，使用戶能夠默認使用 VPN 重新連接作為主 VPN，但是在 VPN 重新連接被干預防火墻阻擋時退回 SSTP，然后退回 PPTP。

部署這些訪問方法所需的所有服務器和客戶端軟件均隨 Windows Server 2008 R2 操作系統一起提供，并且根據客戶端操作系統版本，Windows 桌面操作系統還包含一些或全部的客戶端軟件。

原文地址

文章來源：微軟TechNet中文網

【編輯推薦】

1. 活動目錄在Server 2008 R2中的重要功能
2. Server 2008 R2在數據中心的四大功能
3. Windows Server 2008 R2 SP1新添功能亮點
4. Windows Server 2008 R2的用戶體驗
5. 巧用PowerShell管理Win Server 2008 R2