How to set up Routing and Remote Access for an Intranet

This article describes how to set up routing and remote access for an Intranet.

Original product version: В Windows Server 2012 R2
Original KB number: В 323415

Summary

This step-by-step guide describes how to set up a Routing and Remote Access service on Windows Server 2003 Standard Edition or Windows Server 2003 Enterprise Edition to allow authenticated users to remotely connect to another network by way of the Internet. This secure connection provides access to all internal network resources, such as messaging, file and print sharing, and Web server access. The remote character of this connection is transparent to the user, so the overall experience of using remote access is similar to that of working at a workstation on a local network.

Installing the Routing and Remote Access Service

By default, the Routing and Remote Access service is installed automatically during the Windows Server 2003 installation, but it is disabled.

To Enable the Routing and Remote Access Service

Click Start, point to Administrative Tools, and then click Routing and Remote Access.

In the left pane of the console, click the server that matches the local server name.

If the icon has a red arrow in the lower-right corner, the Routing and Remote Access service isn’t enabled. Go to step 3.

For a green arrow pointing up in the lower-right corner, the service is enabled. If so, you may want to reconfigure the server. To reconfigure the server, you must first disable Routing and Remote Access. You may right-click the server, and then click Disable Routing and Remote Access. Click Yes when it is prompted with an informational message.

Right-click the server, and then click Configure and Enable Routing and Remote Access to start the Routing and Remote Access Server Setup Wizard. Click Next.

Click Remote access (dial-up or VPN) to permit remote computers to dial in or connect to this network through the Internet. Click Next.

Click VPN for virtual private access, or click Dial-up for dial-up access, depending on the role you want to assign to this server.

On the VPN Connection page, click the network interface that is connected to the Internet, and then click Next.

On the IP Address Assignment page, do one of the following:

• If a DHCP server will be used to assign addresses to remote clients, click Automatically, and then click Next. Go to step 8.
• To give remote clients addresses only from a pre-defined pool, click From a specified range of addresses.

In most cases, the DHCP option is simpler to administer. However, if DHCP is not available, you must specify a range of static addresses. Click Next .

The wizard opens the Address Range Assignment page.

1. Click New.
2. In the Start IP address box, type the first IP address in the range of addresses that you want to use.
3. In the End IP address box, type the last IP address in the range.

Windows calculates the number of addresses automatically. 4. Click OK to return to the Address Range Assignment page. 5. Click Next.

Accept the default setting of No, use Routing and Remote Access to authenticate connection requests, and then click Next.

Click Finish to enable the Routing and Remote Access service and to configure the remote access server.
After you set up the server to receive dial-up connections, set up a remote access client connection on the client workstation.

To Set Up a Client for Dial-Up Access

To set up a client for dial-up access, follow these steps on the client workstation.

Because there are several versions of Microsoft Windows, the following steps may be different on your computer. If they are, see your product documentation to complete these steps.

1. Click Start, click Control Panel, and then double-click Network Connections.
2. Under Network Tasks, click Create a new connection, and then click Next.
3. Click Connect to the network at my workplace to create the dial-up connection, and then click Next.
4. Click Dial-up connection, and then click Next.
5. On the Connection Name page, type a descriptive name for this connection, and then click Next.
6. On the Phone Number to Dial page, type the phone number for the remote access server in the Phone Number dialog box.
7. Do one of the following, and then click Next:
   • If you want to allow any user who logs on to the workstation to access to this dial-up connection, click Anyone’s use.
   • If you want this connection to be available only to the currently logged-on user, click My use only.
8. Click Finish to save the connection.

To Set Up a Client for VPN Access

To set up a client for virtual private network (VPN) access, follow these steps on the client workstation.

Because there are several versions of Microsoft Windows, the following steps may be different on your computer. If they are, see your product documentation to complete these steps.

Click Start, click Control Panel, and then double-click Network Connections.

Under Network Tasks, click Create a new connection, and then click Next.

Click Connect to the network at my workplace to create the dial-up connection, and then click Next.

Click Virtual Private Network connection, and then click Next.

On the Connection Name page, type a descriptive name for this connection, and then click Next.

Do one of the following, and then click Next.

• If the computer is permanently connected to the Internet, click Do not dial the initial connection.
• If the computer connects to the Internet by way of an Internet service provider (ISP), click Automatically dial this initial connection. And then click the name of the connection to the ISP.

Type the IP address or the host name of the VPN server computer (for example, VPNServer.SampleDomain.com).

Do one of the following, and then click Next:

• If you want to allow any user who logs on to the workstation to access to this dial-up connection, click Anyone’s use.
• If you want this connection to be available only to the currently logged-on user, click My use only.

Click Finish to save the connection.

Granting Users Access to Remote Access Servers

You can use remote access policies to grant or deny authorization, based on criteria such as the time of day, day of the week, the user’s membership in Windows Server 2003-based security groups, or the type of connection that is requested. If a remote access server is a member of a domain, you can configure these settings by using the user’s domain account.

If the server is a stand-alone server or a member of a workgroup, the user must have a local account on the remote access server.

Grant Remote Access Rights to Individual User Accounts

If you manage remote access on a user account basis, follow these steps to grant remote access rights:

1. Click Start, point to All Programs, point to Administrative Tools, and then click Active Directory Users and Computers.
2. Right-click the user account that you want to grant remote access rights to, click Properties, and then click the Dial-in tab.
3. Click Allow access to grant the user permission to dial in, and then click OK.

Configure Remote Access Rights Based on Group Membership

If you manage remote access on a group basis, follow these steps to grant remote access rights:

1. Create a group that contains members who are permitted to create VPN connections.
2. Click Start, point to Administrative Tools, and then click Routing and Remote Access.
3. In the console tree, expand Routing and Remote Access, expand the server name, and then click Remote Access Policies.
4. Right-click the right pane, point to New, and then click Remote Access Policy.
5. Click Next, type the policy name, and then click Next.
6. Click VPN for virtual private access, or click Dial-up for dial-up access, and then click Next.
7. Click Add, type the name of the group that you created in step 1, and then click Next.
8. Follow the on-screen instructions to complete the wizard.

If the VPN server already permits dial-up networking remote access services, do not delete the default policy; instead, move it so that it is the last policy to be evaluated.

To Establish a Remote Connection

Because there are several versions of Microsoft Windows, the following steps may be different on your computer. If they are, see your product documentation to complete these steps.

On the client workstation, click Start, click Network Connections, and then click the new connection that you created.

In the User Name box, type your user name.

If the network to which you want to connect has multiple domains, you may have to specify a domain name. Use the domain_name \ user name format in the User Name box.

In the Password box, type your password.

If you use a dial-up connection, check the phone number listed in the Dial box to make sure it is correct. Make sure that you’ve specified any additional numbers that you must have to obtain an external line or to dial long distance.

Click Dial or Connect (for VPN connections).

Your computer establishes a connection to the remote access server. The server authenticates the user and registers your computer on the network.

Troubleshooting

This section describes how to troubleshoot some issues that you may have when you try to set up remote access.

Not All of the User’s Dial-in Configuration Settings Are Available

If the Windows Server 2003-based domain is using mixed mode, not all of the configuration options are available. Administrators can only grant or deny access to the user and specify callback options, which are the access permission settings available in Microsoft Windows NT 4.0. The remaining options become available after the domain has been switched to native mode.

Users Can Contact the Server, But Not Authenticated

Make sure that the user account has been granted permission to remotely connect and authenticated with Active Directory as described in section 2. The Remote Access server must also be a member of the «RAS and IAS Servers» group.

For additional information, click the following article numbers to view the articles in the Microsoft Knowledge Base:

323381 How To Allow Remote User Access to Your Network in Windows Server 2003

Настройка маршрутизации и удаленного доступа для интрасети

В этой статье описывается настройка маршрутизации и удаленного доступа для интрасети.

Исходная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 323415

Аннотация

В этом пошаговом руководстве описывается настройка службы маршрутизации и удаленного доступа в Windows Server 2003 Standard Edition или Windows Server 2003 Enterprise Edition, чтобы разрешить пользователям, для проверки подлинности, удаленно подключаться к другой сети через Интернет. Это безопасное подключение обеспечивает доступ ко всем внутренним сетевым ресурсам, таким как обмен сообщениями, общий доступ к файлам и печати, а также доступ к веб-серверам. Удаленный символ этого подключения является прозрачным для пользователя, поэтому общий интерфейс использования удаленного доступа аналогичен работе на рабочей станции в локальной сети.

Установка службы маршрутов и удаленного доступа

По умолчанию служба маршрутов и удаленного доступа устанавливается автоматически во время установки Windows Server 2003, но она отключена.

Чтобы включить службу маршрутов и удаленного доступа

Нажмите кнопку «Пуск», найдите пункт «Администрирование», а затем выберите пункты «Маршруты» и «Удаленный доступ».

В левой области консоли щелкните сервер, который соответствует имени локального сервера.

Если значок имеет красная стрелка в правом нижнем углу, служба маршрутов и удаленного доступа не включена. Перейдите к шагу 3.

Для зеленой стрелки, указываной вверх в правом нижнем углу, служба включена. В этом случае может потребоваться перенастроить сервер. Чтобы перенастроить сервер, необходимо сначала отключить маршрутику и удаленный доступ. Можно щелкнуть сервер правой кнопкой мыши, а затем нажать кнопку «Отключить маршрутику и удаленный доступ». Нажмите кнопку «Да», когда от него отображат информационное сообщение.

Щелкните сервер правой кнопкой мыши и выберите «Настройка и включить маршрутику и удаленный доступ», чтобы запустить мастер настройки сервера маршрутов и удаленного доступа. Нажмите кнопку «Далее».

Щелкните удаленный доступ (подключение или VPN), чтобы разрешить удаленным компьютерам набирать номера или подключаться к этой сети через Интернет. Нажмите кнопку «Далее».

Щелкните VPN для виртуального частного доступа или выберите «Dial-up» для телефонного доступа в зависимости от роли, которую вы хотите назначить этому серверу.

На странице VPN-подключения щелкните сетевой интерфейс, подключенный к Интернету, и нажмите кнопку «Далее».

На странице «Назначение IP-адреса» сделайте одно из следующих задач:

• Если DHCP-сервер будет использоваться для назначения адресов удаленным клиентам, нажмите кнопку «Автоматически» и нажмите кнопку «Далее». Перейдите к шагу 8.
• Чтобы предоставить удаленным клиентам адреса только из заданного пула, щелкните «Из указанного диапазона адресов».

В большинстве случаев параметр DHCP проще администрировать. Однако если DHCP не доступен, необходимо указать диапазон статических адресов. Нажмите кнопку «Далее».

Мастер открывает страницу назначения диапазона адресов.

1. Нажмите кнопку Создать.
2. В поле «Начните ip-адрес» введите первый IP-адрес в диапазоне адресов, которые необходимо использовать.
3. В поле «Конечный IP-адрес» введите последний IP-адрес в диапазоне.

Windows вычисляет количество адресов автоматически. 4. Нажмите кнопку «ОК», чтобы вернуться на страницу назначения диапазона адресов. 5. Нажмите кнопку «Далее».

Примите значение по умолчанию «Нет», используйте маршрутику и удаленный доступ для проверки подлинности запросов на подключение, а затем нажмите кнопку «Далее».

Нажмите кнопку «Готово», чтобы включить службу маршрутов и удаленного доступа, а также настроить сервер удаленного доступа.
После того как вы настроите сервер для получения подключений с подключением к телефонной связи, настроите клиентские подключения удаленного доступа на клиентской рабочей станции.

Настройка клиента для телефонного доступа

Чтобы настроить клиент для телефонного доступа, выполните следующие действия на клиентской рабочей станции.

Так как существует несколько версий Microsoft Windows, на вашем компьютере могут быть разные действия. Если да, см. документацию по продукту для выполнения этих действий.

1. Нажмите кнопку «Начните», выберите «Панель управления», а затем дважды щелкните «Сетевые подключения».
2. В области «Сетевые задачи» щелкните «Создать новое подключение» и нажмите кнопку «Далее».
3. Нажмите кнопку «Подключиться к сети» на рабочем месте, чтобы создать подключение для телефонного подключения, а затем нажмите кнопку «Далее».
4. Click Dial-up connection, and then click Next.
5. На странице «Имя подключения» введите описательное имя для этого подключения и нажмите кнопку «Далее».
6. На странице «Номер телефона для набора номера» введите номер телефона для сервера удаленного доступа в диалоговом окне «Номер телефона».
7. Сделайте одно из следующих следующую кнопку и нажмите кнопку «Далее».
   • Если вы хотите разрешить любому пользователю, который входит в систему на рабочей станции, получить доступ к этому подключению с подключением с подключением, щелкните «Любой пользователь».
   • Если вы хотите, чтобы это подключение было доступно только для пользователя, войдите в систему, щелкните «Использовать только».
8. Нажмите кнопку «Готово», чтобы сохранить подключение.

Настройка клиента для VPN-доступа

Чтобы настроить клиент для доступа к виртуальной частной сети (VPN), выполните следующие действия на клиентской рабочей станции.

Так как существует несколько версий Microsoft Windows, на вашем компьютере могут быть разные действия. Если да, см. документацию по продукту для выполнения этих действий.

Нажмите кнопку «Начните», выберите «Панель управления», а затем дважды щелкните «Сетевые подключения».

В области «Сетевые задачи» щелкните «Создать новое подключение» и нажмите кнопку «Далее».

Нажмите кнопку «Подключиться к сети» на рабочем месте, чтобы создать подключение для телефонного подключения, а затем нажмите кнопку «Далее».

Щелкните подключение к виртуальной частной сети и нажмите кнопку «Далее».

На странице «Имя подключения» введите описательное имя для этого подключения и нажмите кнопку «Далее».

Сделайте одно из следующих и нажмите кнопку «Далее».

• Если компьютер окончательно подключен к Интернету, нажмите кнопку «Не набирать начальное подключение».
• Если компьютер подключается к Интернету через поставщика услуг Интернета (ISP), нажмите кнопку «Автоматически набрать это начальное подключение». Затем щелкните имя подключения к isP.

Введите IP-адрес или имя сервера VPN (например, VPNServer.SampleDomain.com).

Сделайте одно из следующих следующую кнопку и нажмите кнопку «Далее».

• Если вы хотите разрешить любому пользователю, который входит в систему на рабочей станции, получить доступ к этому подключению с подключением с подключением, щелкните «Любой пользователь».
• Если вы хотите, чтобы это подключение было доступно только для пользователя, войдите в систему, щелкните «Использовать только».

Нажмите кнопку «Готово», чтобы сохранить подключение.

Предоставление пользователям доступа к серверам удаленного доступа

Политики удаленного доступа можно использовать для предоставления или запрета авторизации на основе таких критериев, как время дня, день недели, членство пользователя в группах безопасности на основе Windows Server 2003 или тип запрашиваемого подключения. Если сервер удаленного доступа является членом домена, эти параметры можно настроить с помощью учетной записи домена пользователя.

Если сервер является автономным сервером или членом группы, пользователь должен иметь локализованную учетную запись на сервере удаленного доступа.

Предоставление прав удаленного доступа отдельным учетным записям пользователей

Если вы управляете удаленным доступом на основе учетной записи пользователя, выполните следующие действия, чтобы предоставить права удаленного доступа:

1. Нажмите кнопку «Начните», выберите пункты «Все программы», «Администрирование» и «Пользователи и компьютеры Active Directory».
2. Щелкните правой кнопкой мыши учетную запись пользователя, для которую необходимо предоставить права удаленного доступа, выберите «Свойства» и перейдите на вкладку «Dial-in».
3. Нажмите кнопку «Разрешить доступ», чтобы предоставить пользователю разрешение на набор номера, а затем нажмите кнопку «ОК».

Настройка прав удаленного доступа на основе членства в группах

Если вы управляете удаленным доступом на уровне группы, выполните следующие действия, чтобы предоставить права удаленного доступа:

1. Создайте группу, содержаную участников, которым разрешено создавать VPN-подключения.
2. Нажмите кнопку «Пуск», найдите пункт «Администрирование», а затем выберите пункты «Маршруты» и «Удаленный доступ».
3. В дереве консоли разойдите окни «Маршруты» и «Удаленный доступ», разойдите имя сервера и выберите «Политики удаленного доступа».
4. Щелкните правой кнопкой мыши правую области, найдите пункт «Новый» и выберите пункт «Политика удаленного доступа».
5. Нажмите кнопку «Далее», введите имя политики и нажмите кнопку «Далее».
6. Щелкните VPN для виртуального частного доступа или выберите «Dial-up» для телефонного доступа, а затем нажмите кнопку «Далее».
7. Нажмите кнопку «Добавить», введите имя группы, созданной на шаге 1, и нажмите кнопку «Далее».
8. Следуйте инструкциям на экране, чтобы завершить мастер.

Если VPN-сервер уже разрешает службы удаленного доступа к сети телефонного доступа, не удаляйте политику по умолчанию; вместо этого переместим его так, чтобы она была последней оцениваемой политикой.

Создание удаленного подключения

Так как существует несколько версий Microsoft Windows, на вашем компьютере могут быть разные действия. Если да, см. документацию по продукту для выполнения этих действий.

На клиентской рабочей станции нажмите кнопку «Начните», выберите «Сетевые подключения», а затем щелкните созданное новое подключение.

В поле «Имя пользователя» введите имя пользователя.

Если сеть, к которой нужно подключиться, имеет несколько доменов, может потребоваться указать имя домена. Используйте формат domain_name \ в поле «Имя пользователя».

В поле «Пароль» введите пароль.

Если используется подключение с телефонным подключением, проверьте номер телефона, указанный в диалоговом окне, чтобы убедиться, что он правильный. Убедитесь, что указаны дополнительные номера, необходимые для получения внешней линии или для набора большого расстояния.

Click Dial or Connect (for VPN connections).

Компьютер устанавливает подключение к серверу удаленного доступа. Сервер аутентификация пользователя и регистрация компьютера в сети.

Устранение неполадок

В этом разделе описывается, как устранить некоторые проблемы, которые могут возникнуть при попытке настроить удаленный доступ.

Доступны не все параметры конфигурации для телефонного номера пользователя

Если домен на основе Windows Server 2003 использует смешанный режим, доступны не все параметры конфигурации. Администраторы могут предоставлять или запретить доступ только пользователю, а также указывать параметры ответа на вызовы, которые являются настройками разрешений доступа, доступными в Microsoft Windows NT 4.0. Оставшиеся параметры становятся доступными после переключения домена в режим native.

Пользователи могут связываться с сервером, но без проверки подлинности

Убедитесь, что учетной записи пользователя предоставлено разрешение на удаленное подключение и проверку подлинности с помощью Active Directory, как описано в разделе 2. Сервер удаленного доступа также должен быть членом группы «Серверы RAS и IAS».

Для получения дополнительных сведений щелкните следующие номера статей, чтобы просмотреть статьи в базе знаний Майкрософт:

323381 Как разрешить удаленным пользователям доступ к сети в Windows Server 2003