Настройка маршрутизации и удаленного доступа для интрасети

В этой статье описывается настройка маршрутизации и удаленного доступа для интрасети.

Исходная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 323415

Аннотация

В этом пошаговом руководстве описывается настройка службы маршрутизации и удаленного доступа в Windows Server 2003 Standard Edition или Windows Server 2003 Enterprise Edition, чтобы разрешить пользователям, для проверки подлинности, удаленно подключаться к другой сети через Интернет. Это безопасное подключение обеспечивает доступ ко всем внутренним сетевым ресурсам, таким как обмен сообщениями, общий доступ к файлам и печати, а также доступ к веб-серверам. Удаленный символ этого подключения является прозрачным для пользователя, поэтому общий интерфейс использования удаленного доступа аналогичен работе на рабочей станции в локальной сети.

Установка службы маршрутов и удаленного доступа

По умолчанию служба маршрутов и удаленного доступа устанавливается автоматически во время установки Windows Server 2003, но она отключена.

Чтобы включить службу маршрутов и удаленного доступа

Нажмите кнопку «Пуск», найдите пункт «Администрирование», а затем выберите пункты «Маршруты» и «Удаленный доступ».

В левой области консоли щелкните сервер, который соответствует имени локального сервера.

Если значок имеет красная стрелка в правом нижнем углу, служба маршрутов и удаленного доступа не включена. Перейдите к шагу 3.

Для зеленой стрелки, указываной вверх в правом нижнем углу, служба включена. В этом случае может потребоваться перенастроить сервер. Чтобы перенастроить сервер, необходимо сначала отключить маршрутику и удаленный доступ. Можно щелкнуть сервер правой кнопкой мыши, а затем нажать кнопку «Отключить маршрутику и удаленный доступ». Нажмите кнопку «Да», когда от него отображат информационное сообщение.

Щелкните сервер правой кнопкой мыши и выберите «Настройка и включить маршрутику и удаленный доступ», чтобы запустить мастер настройки сервера маршрутов и удаленного доступа. Нажмите кнопку «Далее».

Щелкните удаленный доступ (подключение или VPN), чтобы разрешить удаленным компьютерам набирать номера или подключаться к этой сети через Интернет. Нажмите кнопку «Далее».

Щелкните VPN для виртуального частного доступа или выберите «Dial-up» для телефонного доступа в зависимости от роли, которую вы хотите назначить этому серверу.

На странице VPN-подключения щелкните сетевой интерфейс, подключенный к Интернету, и нажмите кнопку «Далее».

На странице «Назначение IP-адреса» сделайте одно из следующих задач:

• Если DHCP-сервер будет использоваться для назначения адресов удаленным клиентам, нажмите кнопку «Автоматически» и нажмите кнопку «Далее». Перейдите к шагу 8.
• Чтобы предоставить удаленным клиентам адреса только из заданного пула, щелкните «Из указанного диапазона адресов».

В большинстве случаев параметр DHCP проще администрировать. Однако если DHCP не доступен, необходимо указать диапазон статических адресов. Нажмите кнопку «Далее».

Мастер открывает страницу назначения диапазона адресов.

1. Нажмите кнопку Создать.
2. В поле «Начните ip-адрес» введите первый IP-адрес в диапазоне адресов, которые необходимо использовать.
3. В поле «Конечный IP-адрес» введите последний IP-адрес в диапазоне.

Windows вычисляет количество адресов автоматически. 4. Нажмите кнопку «ОК», чтобы вернуться на страницу назначения диапазона адресов. 5. Нажмите кнопку «Далее».

Примите значение по умолчанию «Нет», используйте маршрутику и удаленный доступ для проверки подлинности запросов на подключение, а затем нажмите кнопку «Далее».

Нажмите кнопку «Готово», чтобы включить службу маршрутов и удаленного доступа, а также настроить сервер удаленного доступа.
После того как вы настроите сервер для получения подключений с подключением к телефонной связи, настроите клиентские подключения удаленного доступа на клиентской рабочей станции.

Настройка клиента для телефонного доступа

Чтобы настроить клиент для телефонного доступа, выполните следующие действия на клиентской рабочей станции.

Так как существует несколько версий Microsoft Windows, на вашем компьютере могут быть разные действия. Если да, см. документацию по продукту для выполнения этих действий.

1. Нажмите кнопку «Начните», выберите «Панель управления», а затем дважды щелкните «Сетевые подключения».
2. В области «Сетевые задачи» щелкните «Создать новое подключение» и нажмите кнопку «Далее».
3. Нажмите кнопку «Подключиться к сети» на рабочем месте, чтобы создать подключение для телефонного подключения, а затем нажмите кнопку «Далее».
4. Click Dial-up connection, and then click Next.
5. На странице «Имя подключения» введите описательное имя для этого подключения и нажмите кнопку «Далее».
6. На странице «Номер телефона для набора номера» введите номер телефона для сервера удаленного доступа в диалоговом окне «Номер телефона».
7. Сделайте одно из следующих следующую кнопку и нажмите кнопку «Далее».
   • Если вы хотите разрешить любому пользователю, который входит в систему на рабочей станции, получить доступ к этому подключению с подключением с подключением, щелкните «Любой пользователь».
   • Если вы хотите, чтобы это подключение было доступно только для пользователя, войдите в систему, щелкните «Использовать только».
8. Нажмите кнопку «Готово», чтобы сохранить подключение.

Настройка клиента для VPN-доступа

Чтобы настроить клиент для доступа к виртуальной частной сети (VPN), выполните следующие действия на клиентской рабочей станции.

Так как существует несколько версий Microsoft Windows, на вашем компьютере могут быть разные действия. Если да, см. документацию по продукту для выполнения этих действий.

Нажмите кнопку «Начните», выберите «Панель управления», а затем дважды щелкните «Сетевые подключения».

В области «Сетевые задачи» щелкните «Создать новое подключение» и нажмите кнопку «Далее».

Нажмите кнопку «Подключиться к сети» на рабочем месте, чтобы создать подключение для телефонного подключения, а затем нажмите кнопку «Далее».

Щелкните подключение к виртуальной частной сети и нажмите кнопку «Далее».

На странице «Имя подключения» введите описательное имя для этого подключения и нажмите кнопку «Далее».

Сделайте одно из следующих и нажмите кнопку «Далее».

• Если компьютер окончательно подключен к Интернету, нажмите кнопку «Не набирать начальное подключение».
• Если компьютер подключается к Интернету через поставщика услуг Интернета (ISP), нажмите кнопку «Автоматически набрать это начальное подключение». Затем щелкните имя подключения к isP.

Введите IP-адрес или имя сервера VPN (например, VPNServer.SampleDomain.com).

Сделайте одно из следующих следующую кнопку и нажмите кнопку «Далее».

• Если вы хотите разрешить любому пользователю, который входит в систему на рабочей станции, получить доступ к этому подключению с подключением с подключением, щелкните «Любой пользователь».
• Если вы хотите, чтобы это подключение было доступно только для пользователя, войдите в систему, щелкните «Использовать только».

Нажмите кнопку «Готово», чтобы сохранить подключение.

Предоставление пользователям доступа к серверам удаленного доступа

Политики удаленного доступа можно использовать для предоставления или запрета авторизации на основе таких критериев, как время дня, день недели, членство пользователя в группах безопасности на основе Windows Server 2003 или тип запрашиваемого подключения. Если сервер удаленного доступа является членом домена, эти параметры можно настроить с помощью учетной записи домена пользователя.

Если сервер является автономным сервером или членом группы, пользователь должен иметь локализованную учетную запись на сервере удаленного доступа.

Предоставление прав удаленного доступа отдельным учетным записям пользователей

Если вы управляете удаленным доступом на основе учетной записи пользователя, выполните следующие действия, чтобы предоставить права удаленного доступа:

1. Нажмите кнопку «Начните», выберите пункты «Все программы», «Администрирование» и «Пользователи и компьютеры Active Directory».
2. Щелкните правой кнопкой мыши учетную запись пользователя, для которую необходимо предоставить права удаленного доступа, выберите «Свойства» и перейдите на вкладку «Dial-in».
3. Нажмите кнопку «Разрешить доступ», чтобы предоставить пользователю разрешение на набор номера, а затем нажмите кнопку «ОК».

Настройка прав удаленного доступа на основе членства в группах

Если вы управляете удаленным доступом на уровне группы, выполните следующие действия, чтобы предоставить права удаленного доступа:

1. Создайте группу, содержаную участников, которым разрешено создавать VPN-подключения.
2. Нажмите кнопку «Пуск», найдите пункт «Администрирование», а затем выберите пункты «Маршруты» и «Удаленный доступ».
3. В дереве консоли разойдите окни «Маршруты» и «Удаленный доступ», разойдите имя сервера и выберите «Политики удаленного доступа».
4. Щелкните правой кнопкой мыши правую области, найдите пункт «Новый» и выберите пункт «Политика удаленного доступа».
5. Нажмите кнопку «Далее», введите имя политики и нажмите кнопку «Далее».
6. Щелкните VPN для виртуального частного доступа или выберите «Dial-up» для телефонного доступа, а затем нажмите кнопку «Далее».
7. Нажмите кнопку «Добавить», введите имя группы, созданной на шаге 1, и нажмите кнопку «Далее».
8. Следуйте инструкциям на экране, чтобы завершить мастер.

Если VPN-сервер уже разрешает службы удаленного доступа к сети телефонного доступа, не удаляйте политику по умолчанию; вместо этого переместим его так, чтобы она была последней оцениваемой политикой.

Создание удаленного подключения

Так как существует несколько версий Microsoft Windows, на вашем компьютере могут быть разные действия. Если да, см. документацию по продукту для выполнения этих действий.

На клиентской рабочей станции нажмите кнопку «Начните», выберите «Сетевые подключения», а затем щелкните созданное новое подключение.

В поле «Имя пользователя» введите имя пользователя.

Если сеть, к которой нужно подключиться, имеет несколько доменов, может потребоваться указать имя домена. Используйте формат domain_name \ в поле «Имя пользователя».

В поле «Пароль» введите пароль.

Если используется подключение с телефонным подключением, проверьте номер телефона, указанный в диалоговом окне, чтобы убедиться, что он правильный. Убедитесь, что указаны дополнительные номера, необходимые для получения внешней линии или для набора большого расстояния.

Click Dial or Connect (for VPN connections).

Компьютер устанавливает подключение к серверу удаленного доступа. Сервер аутентификация пользователя и регистрация компьютера в сети.

Устранение неполадок

В этом разделе описывается, как устранить некоторые проблемы, которые могут возникнуть при попытке настроить удаленный доступ.

Доступны не все параметры конфигурации для телефонного номера пользователя

Если домен на основе Windows Server 2003 использует смешанный режим, доступны не все параметры конфигурации. Администраторы могут предоставлять или запретить доступ только пользователю, а также указывать параметры ответа на вызовы, которые являются настройками разрешений доступа, доступными в Microsoft Windows NT 4.0. Оставшиеся параметры становятся доступными после переключения домена в режим native.

Пользователи могут связываться с сервером, но без проверки подлинности

Убедитесь, что учетной записи пользователя предоставлено разрешение на удаленное подключение и проверку подлинности с помощью Active Directory, как описано в разделе 2. Сервер удаленного доступа также должен быть членом группы «Серверы RAS и IAS».

Для получения дополнительных сведений щелкните следующие номера статей, чтобы просмотреть статьи в базе знаний Майкрософт:

323381 Как разрешить удаленным пользователям доступ к сети в Windows Server 2003

Шаг 2. Установка и Настройка компьютера МАРШРУТИЗАТОР1 STEP 2 Install and Configure ROUTER1

Область применения. Windows Server (Semi-Annual Channel), Windows Server 2016 Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

В этом многосайтовом лабораторном практическом занятии компьютер маршрутизатора предоставляет мост IPv4 и IPv6 между корпоративной и 2 подсетями и выступает в качестве маршрутизатора для трафика IP-HTTPS и Teredo. In this multisite test lab guide, the router computer provides an IPv4 and IPv6 bridge between the Corpnet and 2-Corpnet subnets, and acts as a router for IP-HTTPS and Teredo traffic.

Установка операционной системы на компьютере МАРШРУТИЗАТОР1 Install the operating system on ROUTER1

Настройка свойств TCP/IP и переименование компьютера Configure TCP/IP properties and rename the computer

Отключение брандмауэра Turn off the firewall

Настройка маршрутизации и пересылки Configure routing and forwarding

Установка операционной системы на компьютере МАРШРУТИЗАТОР1 Install the operating system on ROUTER1

Сначала установите Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012. First, install Windows Server 2016, Windows Server 2012 R2 or Windows Server 2012.

Установка операционной системы на компьютере МАРШРУТИЗАТОР1 To install the operating system on ROUTER1

Запустите установку Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012 (полная установка). Start the installation of Windows Server 2016, Windows Server 2012 R2 or Windows Server 2012 (full installation).

Для завершения установки следуйте инструкциям и укажите надежный пароль для учетной записи локального администратора. Follow the instructions to complete the installation, specifying a strong password for the local Administrator account. Войдите, используя учетную запись локального администратора. Log on using the local Administrator account.

Подключите МАРШРУТИЗАТОР1 к сети с доступом к Интернету и запустите Центр обновления Windows, чтобы установить последние обновления для Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012, а затем отключитесь от Интернета. Connect ROUTER1 to a network that has Internet access and run Windows Update to install the latest updates for Windows Server 2016, Windows Server 2012 R2 or Windows Server 2012 , and then disconnect from the Internet.

Подключение компьютера МАРШРУТИЗАТОР1 к корпоративной сети и подсетям из двух сетей. Connect ROUTER1 to the Corpnet and 2-Corpnet subnets.

Настройка свойств TCP/IP и переименование компьютера Configure TCP/IP properties and rename the computer

Настройте параметры TCP/IP на маршрутизаторе и переименуйте компьютер в МАРШРУТИЗАТОР1. Configure TCP/IP settings on the router and rename the computer to ROUTER1.

Настройка свойств TCP/IP и переименование компьютера To configure TCP/IP properties and rename the computer

В консоли диспетчер сервера щелкните локальный сервер, а затем в области свойства рядом с проводным Ethernet подключением щелкните ссылку. In the Server Manager console, click Local Server, and then in the Properties area, next to Wired Ethernet Connection, click the link.

В окне » Сетевые подключения » щелкните правой кнопкой мыши сетевой адаптер, подключенный к корпоративной сети, щелкните Переименовать, введите « Корпоративная сеть» и нажмите клавишу ВВОД. In the Network Connections window, right-click the network adapter that is connected to Corpnet, click Rename, type Corpnet, and press ENTER.

Щелкните правой кнопкой мыши элемент Корпоративная сеть и выберите пункт свойства. Right-click Corpnet, and then click Properties.

Щелкните пункт IP версия 4 (TCP/IPv4) и нажмите кнопку Свойства. Click Internet Protocol Version 4 (TCP/IPv4), and then click Properties.

Выберите вариант Использовать следующий IP-адрес. Click Use the following IP address. В списке IP-адрес введите 10.0.0.254. In IP address, type 10.0.0.254. В списке Маска подсети введите 255.255.255.0 и нажмите кнопку ОК. In Subnet mask, type 255.255.255.0, and then click OK.

Выберите Протокол IP версии 6 (TCP/IPv6), а затем Свойства. Click Internet Protocol Version 6 (TCP/IPv6), and then click Properties.

Щелкните использовать следующий IPv6-адрес. Click Use the following IPv6 address. В качестве адреса IPv6 введите 2001: db8:1:: FE. In IPv6 address, type 2001:db8:1::fe. В качестве длины префикса подсети введите 64 и нажмите кнопку ОК. In Subnet prefix length, type 64, and then click OK.

В диалоговом окне Свойства корпоративной сети нажмите кнопку Закрыть. On the Corpnet Properties dialog box click Close.

В окне » Сетевые подключения » щелкните правой кнопкой мыши сетевой адаптер, подключенный к 2 корпоративной сети, щелкните Переименовать, введите 2- Корпоративная и нажмите клавишу ВВОД. In the Network Connections window, right-click the network adapter that is connected to 2-Corpnet, click Rename, type 2-Corpnet, and press ENTER.

Щелкните правой кнопкой мыши 2- Корпоративная сеть и выберите пункт свойства. Right-click 2-Corpnet, and then click Properties.

Щелкните пункт IP версия 4 (TCP/IPv4) и нажмите кнопку Свойства. Click Internet Protocol Version 4 (TCP/IPv4), and then click Properties.

Выберите вариант Использовать следующий IP-адрес. Click Use the following IP address. В списке IP-адрес введите 10.2.0.254. In IP address, type 10.2.0.254. В списке Маска подсети введите 255.255.255.0 и нажмите кнопку ОК. In Subnet mask, type 255.255.255.0, and then click OK.

Выберите Протокол IP версии 6 (TCP/IPv6), а затем Свойства. Click Internet Protocol Version 6 (TCP/IPv6), and then click Properties.

Щелкните использовать следующий IPv6-адрес. Click Use the following IPv6 address. В качестве адреса IPv6 введите 2001: db8:2:: FE. In IPv6 address, type 2001:db8:2::fe. В качестве длины префикса подсети введите 64 и нажмите кнопку ОК. In Subnet prefix length, type 64, and then click OK.

В диалоговом окне свойства 2 корпоративной сети нажмите кнопку Закрыть. On the 2-Corpnet Properties dialog box click Close.

Закройте окно Сетевые подключения. Close the Network Connections window.

В консоли диспетчер сервера в области Свойства на локальном сервере щелкните ссылку рядом с полем имя компьютера. In the Server Manager console, in Local Server, in the Properties area, next to Computer name, click the link.

В диалоговом окне Свойства системы на вкладке Имя компьютера щелкните Изменить. On the System Properties dialog box, on the Computer Name tab, click Change.

В диалоговом окне изменения имени компьютера или домена в поле имя компьютера введите МАРШРУТИЗАТОР1 и нажмите кнопку ОК. On the Computer Name/Domain Changes dialog box, in Computer name, type ROUTER1, and then click OK.

При появлении запроса на перезагрузку компьютера нажмите кнопку ОК. When you are prompted that you must restart the computer, click OK.

В диалоговом окне Свойства системы нажмите Закрыть. On the System Properties dialog box, click Close.

При появлении запроса на перезагрузку компьютера нажмите кнопку Перезагрузить сейчас. When you are prompted to restart the computer, click Restart Now.

После перезагрузки компьютера войдите в систему с учетной записью локального администратора. After the computer has restarted, log on with the local Administrator account.

Отключение брандмауэра Turn off the firewall

Этот компьютер настроен только для обеспечения маршрутизации между корпоративной и подсетями, работающими в двух подсетях. Поэтому брандмауэр должен быть отключен. This computer is configured only to provide routing between the Corpnet and 2-Corpnet subnets; therefore, the firewall must be turned off.

Отключение брандмауэра To turn off the firewall

На начальном экране введите WF. msc и нажмите клавишу ВВОД. On the Start screen, type wf.msc, and then press ENTER.

В окне Брандмауэр Windows в области повышенной безопасности на панели действия выберите пункт свойства. In Windows Firewall with Advanced Security, in the Actions pane, click Properties.

В диалоговом окне Брандмауэр Windows в режиме повышенной безопасности на вкладке профиль домена в поле состояние брандмауэра щелкните выкл. On the Windows Firewall with Advanced Security dialog box, on the Domain Profile tab, in Firewall state, click Off.

В диалоговом окне Брандмауэр Windows в режиме повышенной безопасности на вкладке частный профиль в поле состояние брандмауэра щелкните выкл. On the Windows Firewall with Advanced Security dialog box, on the Private Profile tab, in Firewall state, click Off.

В диалоговом окне Брандмауэр Windows в режиме повышенной безопасности на вкладке Общий профиль в поле состояние брандмауэра щелкните выкл., а затем нажмите кнопку ОК. On the Windows Firewall with Advanced Security dialog box, on the Public Profile tab, in Firewall state, click Off, and then click OK.

Закройте окно Брандмауэр Windows в режиме повышенной безопасности. Close Windows Firewall with Advanced Security.

Настройка маршрутизации и пересылки Configure routing and forwarding

Чтобы обеспечить маршрутизацию и пересылку служб между корпоративной сетью и подсетями, расположенными в двух подсетях, необходимо включить пересылку в сетевых интерфейсах и настроить статические маршруты между подсетями. To provide routing and forwarding services between the Corpnet and 2-Corpnet subnets, you must enable forwarding on the network interfaces and configure static routes between the subnets.

Настройка статических маршрутов To configure static routes

На начальном экране введите cmd.exe и нажмите клавишу ВВОД. On the Start screen, type cmd.exe, and then press ENTER.

Включите перенаправление для интерфейсов IPv4 и IPv6 обоих сетевых адаптеров с помощью следующих команд. Enable forwarding on both the IPv4 and IPv6 interfaces of both network adapters using the following commands. После ввода каждой команды нажмите клавишу ВВОД. After entering each command, press ENTER.

Включите маршрутизацию IP-HTTPS между корпоративной и сетевой подсетями. Enable IP-HTTPS routing between the Corpnet and 2-Corpnet subnets.

Включите маршрутизацию Teredo между корпоративной и подсетями, сопринятыми в двух подсетях. Enable Teredo routing between the Corpnet and 2-Corpnet subnets.

Закройте окно командной строки. Close the Command Prompt window.