Windows Server 2008R2 ***

gfdxy3322

　　1,PPTP ***
　　(1),首先安装好“网络策略和访问服务”。
　　当“路由和远程访问服务”向DHCP服务器租用Ip地址时，并无法获得DHCP选项设置，除非***服务器这台计算机本身也扮演“DHCP中继代理”的角色（我这里就是）。
　　***客户端的用户在连接***服务器时，可以使用***服务器的本地用户或Active Directory用户账户来连接：
　　1,若使用***服务器的本地用户账户：则直接由***服务器通过其本地安全数据库来验证用户（检查用户名和密码是否正确）。
　　2，若使用Active Directory用户账户：若***服务器有加入域，则***服务器会通过域控制器的AD数据库来验证用户；若***服务器未加入域，则需要通过Radius机制来验证用户。

　　(2)选择如图所示的选项

　　(3)安装完之后右键选择“配置并启用路由和远程访问（c))

　　(4)选择第一项，如果您同时也要让内部客户端可以通过***服务器上网的话，可选择“虚拟专用网络（***）访问和NAT。

　　(5)选择如图所示的选项

　　(6),这里选择用来连接因特网的网络接口（这里为外网）后单击下一步。默认会选择最下方选项，他会通过“静态数据包筛选器”来让此网络接口只接受与***有关的数据包，其他类型的数据包会被封锁。若此计算机还要扮演NAT服务器等其它角色的话，建议取消此项。
　　注意，可在事后通过外网卡网络接口的“入站筛选器”和“出站筛选器”来更改设置，例如要利用ping命令来测试是否可以与***服务器通信的话，就需要在入站和出站筛选器开放ICMP流量（Windows防火墙也需开放）。

　　比如，我现在在服务器开通了“外网”的“入站筛选器”和“出站筛选器”的ICMP端口(注意啦，入和出都要定义）：

　　(7)选择分配IP给***客户端的方式：
　　--自动：***服务器会先向DHCP服务器租用IP地址，然后将其分配给客户端。
Windows Server 2008R2通过“路由和远程访问服务（RRAS）”来提供***服务器的功能，而在“路由和远程访问服务”启动时，他会先向DHCP服务器租用10个IP地址，之后当***客户端连上***服务器时，***服务器会从这些地址中选择一个给***客户端来使用。若这10个Ip地址用完的话，“路由和远程访问服务”会继续向DHCP服务器再租用10个IP地址。。。。。。
　　ps:您可以在***服务器上修改以下注册值来更改每次租用IP地址的数量：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\IP\InitialAddressPoolSize
若未发行爱你此注册值得花，请自行添加（数据类型为Reg_dword).
　　
--来自一个指定的地址范围：此时单击下一步后，自行设置一段Ip地址范围，***服务器会从此范围内挑选Ip地址给***客户端。

　　(8)这里我选择通过域控制器的AD来验证用户名和密码，故不需要使用RADIUS验证。

　　(9)单击“确定”完成。

　　(10)展开到“DHCP中继代理程序”打开它的属性，添加DHCP服务器的IP地址（我这里本机也是DHCP服务器，所以添加的是本地的IP地址）。

　　（11）采用AD验证的***服务器，需要在AD里面允许该用户拨入功能：

　　(12),我这里使用的是vmware虚拟机，所以我是模拟的因特网，也就是客户端和***服务器连在一个网段上，不过没有关系，我们可以看到效果的！
拨号的时候选择个跟他同一个网段的Ip地址（模拟因特网）。

　　(13)当成功连接到***服务器之后，我们在客户端可以看到服务器内网服务器IP(192.168.0.1)的共享文档，并且在右下角多了一个网络连接的图标，说明已经成功连接

　　(14)当然，我们在服务器上也是可以看到成功连接的客户端的：

　　(15)***客户端为何无法上网(针对的是由服务器DHCP分配Ip的情况）?
原本计算机可以访问因特网，可是为什么一旦脸上***服务器后，虽然可以访问内部网络资源，但是却无法访问因特网的资源呢？因为***客户端默认会选择“在远程网络上使用默认网关”。
在WinXP客户端中取消了“在远程网络上使用默认网关”便可以访问因特网了！

　　(16)上述限制也是大部分系统管理员所期望的，因为若***客户端取消选择““在远程网络上使用默认网关”的话，则在连上***服务器后，其路由表将多出一条网关路由。也就是说***客户端能够同时访问内部网络和因特网，如此这台***客户端计算机可能成为******内部网络的跳板，形成安全上的威胁。

　　(17)***客户端为何无法上网(针对的是静态Ip的情况）?

　　(18)这种静态Ip的情况比较安全，连接上***之后，它是可以上网，但是无法与内部网通讯，因此需要在客户端手动添加路由(我这里没有演示，只提供示例命令）
比如：route add 192.168.110.138 255.255.255.0 192.168.0.1
　　2,L2TP/IPSec ***(预共享密钥）
　　由于采用预共享密钥的验证方式，其安全性比采用计算机证书验证的方式要差，因此只建议使用在测试环境，不建议使用在正式环境中。
1,在服务器上设置好与预共享的密钥

　　2,在客户端设置与共享密钥即可：