配置windows 2012 ***, Radius 和 DirectAccess （一）

birk

　　Windows 2012里面进一步强化了远程访问的安全性，并增加了DrectAccess的功能，允许域内的电脑在满足一定条件的基础上直接可以访问公司内网。这里豆子分为三个篇章，逐一学习***，Radius和DirectAccess的功能和基本配置。
　　

　　作为第一个篇章，豆子只是单纯的配置Windows 2012 ***服务器和客户端。实验的拓扑结构很简单，豆子设置了2个VLAN 充当内网和外网，内网范围是 172.0.12.0/24; 外网范围是172.16.90.0/24; 内网里面有个域控，***服务器作为边缘服务器，上面安装了2个网卡，IP 分别是172.0.12.118和172.16.90.118，然后设置了一个外网的客户端，IP 是 172.16.90.160
　　

　　

　　以下是安装步骤：
　　

　　安装***很简单，通过server manager安装remote access，然后按照提示一步步的点击下去即可，我就不赘述了。
　　

　　

　　

　　安装完毕之后就可以开始配置了。打开 Routing and Remote Access
　　右击服务器，然后点击Configure and Enable Routing and Remote Access

　　点击 Next, 然后选择custom configuration

　　选择***

　　点击start service，然后等个1分钟

　　安装完毕以后右击服务器点开属性

　　因为第一个实验我们并没有设置Radius Server,所以选择默认的 windows authentication就行了

　　然后给IPv4分配一个地址范围，***的客户端登陆之后会自动获取一个地址。这里我选择的是静态范围172.0.12.60-172.0.12.65；另外，经测试 dhcp也是工作的

　　

　　其余的默认选项即可。
　　默认的情况下 对应的防火墙应该已经打开了，当然你也可以确定一下
　　

　　

　　如果有外网防火墙，还需要打开以下端口：
PPTP Connections:
TCP 1723
L2TP/IPSec Connections:
TCP 1701
UDP 500
SSTP Connections:
TCP 443
　　

　　

　　然后进入AD Users and Computers,将远程登陆用户的 dial-in的选项里面，Network Access Permission设置为 Allow access
　　

　　

　　最后登陆客户端 我用的也是 windows 2012，点开网络设置，创建一个新的***连接
　　点击 set up a new connection or network

　　Create a new Connection
　　

　　Use my Internent Connection (***)
　　

　　I'll setup an internet connection later

　　输入***的公网地址，在我的实验里面，是 172.16.90.118

　　

　　完成之后，单击右下角的网络图标就能看见建立的连接了
　　

　　可以继续右击连接修改属性

　　

　　比较关键的是***连接方式和协议的选择，不同的操作系统支持的连接方式不同，安全度也不一样，这里豆子选择的是MS-ChapV2

　　注意对应的***的安全设置也要匹配

　　

　　设置完之后，就可以连接了

　　

　　如果没有任何意外的话，应该就可以成功获取内网的IP了

　　

　　成功的ping 内网域控

　　

　　下一章节将在现有基础上加入Radius 服务器进行验证