讓遠程用戶連接Exchange Server的傳統(tǒng)解決方案是使用Outlook Web Access.然而，為何不使用虛擬專用網(wǎng)（Virtual Private Network，VPN）讓你的遠程用戶與你的Exchange連接在一起呢？

如果你不熟悉VPN，我將向你介紹，VPN是穿越不安全的網(wǎng)絡(luò)，譬如 Internet的一個邏輯的、安全的網(wǎng)絡(luò)連接。遠程用戶能夠通過他們的已經(jīng)存在的Internet連接，安全地連接進入你的網(wǎng)絡(luò)，就像他們親自在辦公室 中一樣。另外一個優(yōu)勢是，VPN是交換獨立的，這意味著你能夠使用VPN連接訪問Exchange Server，而不用考慮版本問題，并且你還可以使用VPN連接訪問其它網(wǎng)絡(luò)資源。

VPN技術(shù)對機構(gòu)和很多遠程用戶來說，是極端有用的，但在設(shè)定上，它可能有些復雜。下面的指南將手把手的教你如何建立VPN，它包含各個步驟詳細的操作流程。
 
第一步：系統(tǒng)需求

VPN分為兩種，一種是硬件解決方案，一種是軟件解決方案，在這個手把手的指南中，我將介紹一種軟件解決方案，即使用Microsoft產(chǎn)品建立VPN. 為了架設(shè)VPN，你將需要三個獨立的Windows 2003服務(wù)器和至少一個遠程用戶，遠程用戶的機器上需要運行Windows XP操作系統(tǒng)。

你的VPN需要的第一臺Windows 2003服務(wù)器是一臺基本的基礎(chǔ)設(shè)施服務(wù)器，它必須作為一臺域控制器（domain controller），DHCP服務(wù)器（DHCP server），DNS服務(wù)器（DNS Server）和認證中心（certificate authority）。如果你的網(wǎng)絡(luò)中已經(jīng)有一臺Windows 2003服務(wù)器，你就不需要去購買一臺服務(wù)器擔當此角色。
 
任何Windows 2003域都至少有一臺域控制器和一臺作為DNS的服務(wù)器，多數(shù)Windows 2003網(wǎng)絡(luò)同時運行DHCP服務(wù)。如果你所有的這些服務(wù)已經(jīng)到位，你所關(guān)心的唯一的事情就是設(shè)置一個認證中心（我將在第三步為你說明如何做這件事情）。 下載，你只需知道作為認證中心的那臺服務(wù)器必需運行Windows Server 2003 Enterprise Edition操作系統(tǒng)。

你需要的第二臺服務(wù)器將是VPN服務(wù)器（VPN server），Windows Server 2003 Standard Edition和Enterprise Edition都提供了VPN服務(wù)器的必要軟件，因此，你不需要在這臺服務(wù)器上安裝任何特別的軟件。唯一特別的是硬件上，這臺服務(wù)器需要雙網(wǎng)卡，一塊網(wǎng)卡 連接Internet，另一塊網(wǎng)卡則連接你的專用企業(yè)網(wǎng)絡(luò)。
 
你需要的最后一臺服務(wù)器將是認證服務(wù)器（authentication server）。當遠程用戶通過VPN嘗試進入你的企業(yè)網(wǎng)絡(luò)時，他們必需通過認證。遠程用戶認證的機制可以選擇RADIUS服務(wù)器（RADIUS server），RADIUS 是Remote Authentication Dial In User Service（遠程身份驗證撥入用戶服務(wù)）的首字母縮寫。在Windows Server 2003 Standard Edition和Enterprise Edition中，包含有微軟自有版本的RADIUS.微軟的RADIUS叫做Internet驗證服務(wù)（Internet Authentication Service，IAS），對這臺服務(wù)器來說，沒有特殊的硬件和軟件要求。

在這一部分，最后我想說的是服務(wù)器的安置問題。任何一臺我談?wù)摰降姆?wù)器都將通過 Hub或交換機接入你的專用網(wǎng)絡(luò)，唯一與外界連接的服務(wù)器是你的VPN服務(wù)器，但將VPN服務(wù)器直接與Internet連接將會帶來安全風險，因此，在 VPN服務(wù)器的前面放置一臺防火墻是很好的解決辦法，你可以用它過濾掉除了VPN通訊外所有其它的信息。

在第二步，我們將開始配置域的過程，所以在進入下一步之前，你的網(wǎng)絡(luò)中必需包含必需的Windows 2003域控制器和DNS服務(wù)器。

第二步：實施DHCP服務(wù)
 
1.打開服務(wù)器的控制面板，選擇“添加或刪除程序”。
2.當“添加或刪除程序”對話框出現(xiàn)時，點擊“添加/刪除Windows組件”按鈕。
3.在彈出的窗口中，選擇“網(wǎng)絡(luò)服務(wù)”，按下“詳細信息”。
4.現(xiàn)在從網(wǎng)絡(luò)服務(wù)列表中選擇“動態(tài)主機配置協(xié)議（DHCP）”，然后單擊“確定”，進行下一步操作。
Windows現(xiàn)在將安裝DHCP服務(wù)，安裝結(jié)束后，你將要創(chuàng)建一個地址范圍，并且啟動DHCP服務(wù)器，在你的網(wǎng)絡(luò)上運行。
5.為了做到這些，請在控制面板――管理工具中選擇動態(tài)主機配置協(xié)議（DHCP）配置，打開DHCP管理器。
6.在DHCP管理器中你的服務(wù)器上單擊右鍵，選擇啟動（Authorize）。
7.啟動DHCP服務(wù)器后，在DHCP管理器的服務(wù)器列表窗口中單擊右鍵，選擇“新建作用域（New Scope）”，這將啟動新建作用域向?qū)А?
8.點擊下一步略過向?qū)У臍g迎界面。
9.輸入你正在創(chuàng)建的作用域的名稱，并且點擊下一步。（你可以輸入任何你想到的名稱，但在這個教程中，我將命名此作用域為“Corporate Network”。）
10.現(xiàn)在你將需要填入IP地址范圍。在這里只需輸入你已經(jīng)使用的起始IP地址和結(jié)束IP地址，但注意不要與已經(jīng)存在的IP地址沖突。長度和子網(wǎng)掩碼部分則會自動輸入，不需要你的干涉，當然，你也可以手動調(diào)節(jié)這兩者的值。
11.接下來的三個畫面包括一些你不必關(guān)心的設(shè)置，連續(xù)三次點擊下一步，直到你進入“路由（默認網(wǎng)關(guān)）（Router （Default Gateway））”界面。
12.輸入你網(wǎng)絡(luò)網(wǎng)關(guān)的IP地址，點擊添加，然后下一步。
13.輸入你的域的名稱和你的DHCP服務(wù)器的IP地址（IP address of your DHCP server），然后點擊下一步。
14.單擊下一步略過WINS配置窗口。
15.最后，根據(jù)提示選“是，我想激活作用域（Yes， I Want To Activate The Scope Now）”再點擊“完成”即可結(jié)束最后設(shè)置。
 
第三步：創(chuàng)建一個企業(yè)認證中心

在我向你講述如何創(chuàng)建一個企業(yè)認證中心之前，我將告訴你幾個必需注意的事項。安裝認證中心并不是一個輕松的過程，如果一個未經(jīng)授權(quán)的用戶進入了你的認證中心，他將幾乎控制你的所有網(wǎng)絡(luò)。同樣，如果認證中心服務(wù)器當機，它可能對給你的網(wǎng)絡(luò)帶來毀滅性的破壞。

所以，一定要像保護原子彈一樣保護你的認證中心，確保認證中心盡可能的安全，并頻繁的做好全系統(tǒng)的備份，你還需要保護這些備份，以防止它們偶然地出現(xiàn)問題。下面是創(chuàng)建企業(yè)認證中心的具體過程。

1. 打開服務(wù)器的控制面板，選擇“添加或刪除程序”，點擊其中的“添加/刪除Windows組件”按鈕。
2.選擇Windows組件中的“證書服務(wù)”。
3.你將會看到一個警告窗口，上面的信息為：“安裝證書服務(wù)后，計算機名和域成員身 份都不能更改，因為計算機名到CA信息的綁定存儲在Active Directory中。更改計算機名或域成員身份將使此CA頒發(fā)的證書無效。在安裝證書服務(wù)前請確認配置了正確的計算機名和域成員身份。您想繼續(xù)嗎？”點 擊“是”，接受這一警告信息，并點擊“下一步”，開始安裝證書服務(wù)。
4.選擇“獨立根CA”作為你想安裝的CA類型，并點擊下一步。
在這里，為自己的CA服務(wù)器取個名字，設(shè)置證書的有效期限。默認的證書有效期限為5年，不過你可以通過企業(yè)安全策略來增加或減少此有效期限。
5.填寫好這兩個文本框，點擊下一步，Windows將開始生成加密密鑰。
6.最后指定證書數(shù)據(jù)庫和證書數(shù)據(jù)庫日志的位置，按照默認即可，除非你自己想更換路徑，然后點擊下一步。
7.現(xiàn)在將出現(xiàn)一則消息，提示W(wǎng)indows必需重新啟動IIS服務(wù)，才能夠讓證書服務(wù)正常運行。點擊“是”，Windows將安裝必要的組件。

第四步：安裝Internet驗證服務(wù)

Internet驗證服務(wù)是Windows Server 2003實施RADIUS的一種服務(wù)，Internet驗證服務(wù)將認證那些通過VPN連接進入你的企業(yè)網(wǎng)絡(luò)的用戶，因此，你的Internet驗證服務(wù)器 必需是你的域服務(wù)器中的一員，并且運行Windows Server 2003操作系統(tǒng)。為了正確安裝IAS，請遵循以下的步驟：

1.定位到開始 | 設(shè)置 | 控制面板（Start| Settings | Control Panel）。
2.雙擊添加或刪除程序（Add/Remove Programs）。
3.選擇添加/刪除Windows組件（Add/Remove Windows Components）。
4.在組件列表中，選擇網(wǎng)絡(luò)服務(wù)（Networking Services），并點擊詳細內(nèi)容。
5.選擇Internet驗證服務(wù)（Internet Authentication Service）的確認框，然后點擊OK，并點擊下一步。
完成安裝之后，系統(tǒng)中將具有用于因特網(wǎng)認證服務(wù)的管理工具的一個新的連接。接著，你必須為每一臺機器設(shè)置一個客戶端，并指定一個遠距離訪問規(guī)范以控制訪問。

第五步：配置Internet驗證服務(wù)

1.進入管理工具（Administrative Tools）-> Internet驗證服務(wù)（Internet Authentication Service）。
2.在這里，你需要做的第一件事情是在活動目錄（Active Directory）中注冊你的Internet驗證服務(wù)器。為了做到這些，請在Internet驗證服務(wù)器（本地）（Internet Authentication Service （Local））容器上單擊右鍵，選擇在活動目錄中注冊服務(wù)器（Register Server in Active Directory）。
3.點擊確定完成注冊過程。
4.現(xiàn)在，在RADIUS客戶（RADIUS Clients）容器上單擊右鍵，選擇新RADIUS客戶（RADIUS Clients）。如果你正好直到你某臺客戶端機器的IP地址或DNS名稱，繼續(xù)下去，輸入一個友好的名字。否則，暫時將它留空，在隨后的設(shè)置客戶端連接 時再進行填寫。
5.點擊下一步。
6.此時，會提示你輸入一個共享的密鑰。共享密鑰是RADIUS服務(wù)器和客戶端同時使用的密鑰，確定客戶端供應(yīng)商選項設(shè)置為RADIUS標準，輸入一個共享密鑰值，點擊完成。
 
第六步：創(chuàng)建遠程訪問策略

1. 在Internet驗證服務(wù)控制臺，右擊遠程訪問策略（Remote Access Policies）容器，選擇新建遠程訪問策略（New Remote Access Policy）選項，這將啟動新建遠程訪問策略向?qū)А?
2. 在歡迎使用新建遠程訪問策略向?qū)ы摚c擊下一步。
3.在策略配置方式頁，選擇使用向?qū)橥ㄓ铆h(huán)境建立典型的策略（Typical Policy for a Common Scenario）選項，在策略名字文本框中輸入一個名字，在此我們命名為“VPN Access”，點擊下一步。
4.在訪問方式頁，選擇VPN 選項，然后點擊Next.
5.在訪問的組或者用戶頁，選擇組或用戶，然后點擊添加。如果你還沒有做這一步，我建議你花一些事件創(chuàng)建一個建立在能夠通過VPN訪問網(wǎng)絡(luò)的用戶紙上的活動目錄組，然后將這個組添加進入策略。
6.點擊下一步，進入認證方法窗口。
7.確認選擇了“Microsoft Encrypted Authentication version 2 （MS CHAPV2） ”，然后點擊下一步。
8.在策略加密級別頁，確認只選擇了“Strong encryption”選項，隨后點擊下一步，根據(jù)向?qū)В谕瓿尚陆ㄟh程訪問策略向?qū)ы擖c擊完成。

第七步：配置VPN服務(wù)器

1.開始，請打開服務(wù)器的網(wǎng)絡(luò)連接（Network Connections）目錄，并將連接重命名為有意義的名字，例如，你可以將連接命名為企業(yè)和Internet，或者其它你喜歡的名字。
2.進入管理工具（Administrative Tools）->路由和遠程訪問（Routing and Remote Access），打開路由和遠程訪問管理器。
3.在管理器目錄數(shù)中，右鍵單擊你的VPN服務(wù)器，選擇配置和啟用路由和遠程訪問 （Configure and Enable Routing and Remote Access），這將載入路由和遠程訪問服務(wù)器設(shè)置向?qū)В≧outing and Remote Access Server Setup Wizard）。
4.點擊下一步，略過向?qū)У臍g迎頁面，然后你將看到向?qū)У呐渲么翱凇?
5.選擇遠程訪問（撥號或VPN）Remote Access （Dial-Up or VPN），然后點擊下一步。
6.選中VPN前面的復選框，點擊下一步。
7.現(xiàn)在，你將看到一個窗口，此窗口中顯示有你的機器的網(wǎng)絡(luò)連接。選擇連接Internet的那個連接，確認啟用安全（Enable Security）復選框被選擇，然后單擊下一步。
8.確認選中了自動（Automatically），并點擊下一步。
9.現(xiàn)在，在選項中選擇和設(shè)置跟RADIUS服務(wù)器一起工作的服務(wù)器，并單擊下一步。
10.輸入你的RADIUS服務(wù)器的IP地址，和你為RADIUS服務(wù)器分配的共享密鑰信息。
11.點擊下一步，點擊完成。

第八步：使VPN服務(wù)器和DHCP服務(wù)器關(guān)聯(lián)起來

1.在路由和遠程訪問控制臺目錄數(shù)中指向你的服務(wù)器->IP路由（IP Routing）->DCHP中繼代理（DHCP Relay Agent）。
2.在DHCP中繼代理上單擊右鍵，選擇屬性（Properties）。
3.輸入你的DHCP服務(wù)器的IP地址，點擊添加，然后再單擊確定。
現(xiàn)在你的VPN服務(wù)器已經(jīng)配置好了。萬事俱備，剩下的唯一要做的就是配置你的客戶端，使它們與你剛剛創(chuàng)建的VPN服務(wù)協(xié)同工作。
 
第九步：配置遠程客戶端

你應(yīng)該可以記起，我們必需為那些能夠通過VPN訪問企業(yè)內(nèi)部網(wǎng)絡(luò)的用戶創(chuàng)建一個特別的安全組。所以，我假設(shè)你的遠程用戶已經(jīng)被加入必要的組，并且客戶端的計算機已經(jīng)接入了Internet.
允許一臺運行Windows XP操作系統(tǒng)的客戶端計算機訪問你的專用網(wǎng)絡(luò)，就必需告訴它們?nèi)绾问褂肰PN連接。
1.為了做到這些，請打開控制面板（Control Panel），選擇網(wǎng)絡(luò)和Internet連接（Network and Internet Connections）選項。
2.創(chuàng)建一個新連接，在向?qū)е羞x擇連接到我的工作場所的網(wǎng)絡(luò)（Connection to the Network At Your Workplace）選項。
3.Windows現(xiàn)在將詢問你，想創(chuàng)建一個撥號連接（dial-up connection），還是一個虛擬專用網(wǎng)絡(luò)連接（VPN connection）。選擇虛擬專用網(wǎng)絡(luò)連接，點擊下一步。
4.在這一步，你將看到公司名的項目，你能夠在這里輸入你公司的名字，你連接的服務(wù)器的名字，或者其它你用來描述連接的東西。
5.點擊下一步，你將被要求輸入你正連接的計算機的主機名或IP地址，請?zhí)钊肽愕腣PN服務(wù)器的外網(wǎng)IP地址（即連接進入Internet的IP地址）。
6.再次單擊下一步 ，根據(jù)向?qū)ё詈笸瓿赡愕腣PN連接創(chuàng)建。

第十步：測試客戶端連接

1.雙擊可用連接列表中的VPN連接。
2.你將被要求輸入用戶名和密碼。為了更好的使用VPN連接，我們還需要進行一些設(shè)置，因此請點擊此界面中的屬性（Properties）按鈕。
3.在屬性窗口中，選擇網(wǎng)絡(luò)（Networking）標簽。
4.選擇VPN類型為PPTP VPN，按下確定按鈕。
5.現(xiàn)在你將回到VPN連接登陸窗口，以domain/username格式輸入你的用戶名。