什么是域？域是一個(gè)有安全邊界的計(jì)算機(jī)集合，在同一個(gè)域中的計(jì)算機(jī)彼 計(jì)算機(jī)域此之間已經(jīng)建立了信任關(guān)系，在域內(nèi)訪問(wèn)其他機(jī)器，不再需要被訪問(wèn)機(jī)器的許可。 在加入域的時(shí)候，管理員為每個(gè)計(jì)算機(jī)在域中（可和

什么是域？

域是一個(gè)有安全邊界的計(jì)算機(jī)集合，在同一個(gè)域中的計(jì)算機(jī)彼 計(jì)算機(jī)域

此之間已經(jīng)建立了信任關(guān)系，在域內(nèi)訪問(wèn)其他機(jī)器，不再需要被訪問(wèn)機(jī)器的許可。 在加入域的時(shí)候，管理員為每個(gè)計(jì)算機(jī)在域中（可和用戶不在同一域中）建立了一個(gè)計(jì)算機(jī)帳戶。計(jì)算機(jī)帳戶的密碼在域中稱為登錄票據(jù)，它是由WIN2000的DC （域控制器）上的KDC 服務(wù)來(lái)頒發(fā)和維護(hù)的。 為了保證系統(tǒng)的安全，KDC 服務(wù)每30天會(huì)自動(dòng)更新一次所有的票據(jù)，并把上次使用的票據(jù)記錄下來(lái)。服務(wù)器始終保存著2個(gè)票據(jù)，其有效時(shí)間是60天，60天后，上次使用的票據(jù)就會(huì)被系統(tǒng)丟棄。如果GHOST 備份里帶有的票據(jù)是60天的，那么該計(jì)算機(jī)將不能被KDC 服務(wù)驗(yàn)證，從而系統(tǒng)將禁止在這個(gè)計(jì)算機(jī)上的任何訪問(wèn)請(qǐng)求（包括登錄）。 如何創(chuàng)建域？

域控制器安裝（win server系統(tǒng)）

先安裝一個(gè)DNS ——安裝active directory （注：裝這兩個(gè)都需要系統(tǒng)光盤(pán)或鏡像；安裝active directory時(shí)相關(guān)的信息選擇和命令要按自己的需求來(lái)）

裝好后開(kāi)始——管理工具，打開(kāi)active directory用戶和計(jì)算機(jī)——新建用戶（密碼選永不過(guò)期）——在域中設(shè)置委派控制（對(duì)象為前面建的用戶）——完成域控制器就建好了

電腦加入域：

設(shè)置成與域控制器在同一個(gè)網(wǎng)段，然后右擊“我的電腦”——屬性——計(jì)算機(jī)名——更改——選“域”然后輸入你建的域的域名重啟就行了（注：這臺(tái)電腦的計(jì)算機(jī)名要先在添加到域控制器中去）

什么是VPN ？

在眾多實(shí)現(xiàn)遠(yuǎn)程辦公的方法中，使用VPN 技術(shù)應(yīng)該是一種安全高效的方法。借助VPN 技術(shù)，企業(yè)外出辦公人員可以隨時(shí)連接到企業(yè)的VPN 服務(wù)器，進(jìn)而連接到企業(yè)內(nèi)部網(wǎng)絡(luò)。然而遺憾的是，由于資金方面的限制，基于硬件的VPN 解決方案并不能被小企業(yè)或一般用戶所接受。不過(guò)借助Windows 2000/2003系統(tǒng)的“路由和遠(yuǎn)程訪問(wèn)”服務(wù)，用戶完全可以實(shí)現(xiàn)基于軟件的VPN 。

VPN（Virtual Private Network ）即虛擬專用網(wǎng)絡(luò)，它通過(guò)一個(gè)公用網(wǎng)絡(luò)（如Internet ）建立一個(gè)臨時(shí)的、安全的、模擬的點(diǎn)對(duì)點(diǎn)連接。這是一條穿越公用網(wǎng)絡(luò)的信息隧道，數(shù)據(jù)可以通過(guò)這條隧道在公用網(wǎng)絡(luò)中安全地傳輸。因此用戶也可形象地稱之為“網(wǎng)絡(luò)中的網(wǎng)絡(luò)”。而保證數(shù)據(jù)安全傳輸?shù)年P(guān)鍵就在于VPN 使用了隧道協(xié)議，目前常用的隧道協(xié)議有PPTP 、L2TP 和IPSec ，如圖2008112401所示。

圖2008112401 VPN網(wǎng)絡(luò)示意圖

VPN的適用范圍非常廣泛，如企業(yè)原有專線網(wǎng)絡(luò)的帶寬升級(jí)；企業(yè)遠(yuǎn)程用戶需要實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)的情況；對(duì)通信線路的保密性和可用性要求較高的用戶（如證券、保險(xiǎn)企業(yè)）；企業(yè)原有專線網(wǎng)絡(luò)連接的備份；等等。 VPN 服務(wù)器和客戶機(jī)設(shè)置方法。

一 需求描述

單位的機(jī)器是局域網(wǎng)之后通過(guò)路由接入公網(wǎng)，本身也不具有公網(wǎng)IP ，家中的機(jī)器是通過(guò)adsl 上網(wǎng)路由上網(wǎng)，也不具公網(wǎng)IP 。正好單位有一臺(tái)在公網(wǎng)的服務(wù)器我可以控制，通過(guò)這個(gè)服務(wù)器可以搭建一個(gè)VPN 虛擬局域網(wǎng)，把單位我用的機(jī)器和家里的機(jī)器都撥入這個(gè)VPN

服務(wù)器，兩臺(tái)機(jī)器就處于一個(gè)虛擬局域網(wǎng)中了，在單位的機(jī)器上設(shè)置VSS 數(shù)據(jù)庫(kù)，然后共享，家里的機(jī)器通過(guò)虛擬局域網(wǎng)訪問(wèn)共享VSS 數(shù)據(jù)庫(kù)。

二 配置windows 2003 VPN服務(wù)器

服務(wù)器是Windows 2003系統(tǒng)，2003中VPN 服務(wù)叫做“路由和遠(yuǎn)程訪問(wèn)”，系統(tǒng)默認(rèn)就安裝了這個(gè)服務(wù)，但是沒(méi)有啟用。

在管理工具中打開(kāi)“路由和遠(yuǎn)程訪問(wèn)”

在列出的本地服務(wù)器上點(diǎn)擊右鍵，選擇“配置并啟用路由和遠(yuǎn)程訪問(wèn)”。下一步

在此，由于服務(wù)器是公網(wǎng)上的一臺(tái)一般的服務(wù)器，不是具有路由功能的服務(wù)器，是單網(wǎng)卡的，所以這里選擇“自定義配置”。下一步。

這里選“VPN 訪問(wèn)”，我只需要VPN 的功能。下一步，配置向?qū)瓿伞?/p>

點(diǎn)擊“是”，開(kāi)始服務(wù)。

看啟動(dòng)了VPN 服務(wù)后，“路由和遠(yuǎn)程訪問(wèn)”的界面

下面開(kāi)始配置VPN 服務(wù)器

在服務(wù)器上點(diǎn)擊右鍵，選擇“屬性”，在彈出的窗口中選擇“IP ”標(biāo)簽，在“IP 地址指派”中選擇“靜態(tài)地址池”。

然后點(diǎn)擊“添加”按鈕設(shè)置IP 地址范圍，這個(gè)IP 范圍就是VPN 局域網(wǎng)內(nèi)部的虛擬IP 地址范圍，每個(gè)撥入到VPN 的服務(wù)器都會(huì)分配到一個(gè)范圍內(nèi)的IP ，在虛擬局域網(wǎng)中用這個(gè)IP 相互訪問(wèn)。

這里設(shè)置為10.240.60.1－10.240.60.10，一共10個(gè)IP ，默認(rèn)的VPN 服務(wù)器占用第一個(gè)IP ，所以，10.240.60.1實(shí)際上就是這個(gè)VPN 服務(wù)器在虛擬局域網(wǎng)的IP 。

至此，VPN 服務(wù)部分配置完畢。

三添加VPN 用戶

每個(gè)客戶端撥入VPN 服務(wù)器都需要有一個(gè)帳號(hào)，默認(rèn)是windows 身份驗(yàn)證，所以要給每個(gè)需要撥入到VPN 的客戶端設(shè)置一個(gè)用戶，并為這個(gè)用戶制定一個(gè)固定的內(nèi)部虛擬IP 以便客戶端之間相互訪問(wèn)。

在管理工具中的計(jì)算機(jī)管理里添加用戶，這里以添加一個(gè)chnking 用戶為例

先新建一個(gè)叫“chnking ”的用戶，創(chuàng)建好后，查看這個(gè)用戶的屬性，在“撥入”標(biāo)簽中做相應(yīng)的設(shè)置，如圖：

遠(yuǎn)程訪問(wèn)權(quán)限設(shè)置為“允許訪問(wèn)”，以允許這個(gè)用戶通過(guò)VPN 撥入服務(wù)器。

點(diǎn)選“分配靜態(tài)IP 地址”，并設(shè)置一個(gè)VPN 服務(wù)器中靜態(tài)IP 池范圍內(nèi)的一個(gè)IP 地址，這里設(shè)為10.240.60.2

如果有多個(gè)客戶端機(jī)器要接入VPN ，請(qǐng)給每個(gè)客戶端都新建一個(gè)用戶，并設(shè)定一個(gè)虛擬IP 地址，各個(gè)客戶端都使用分配給自己的用戶撥入VPN ，這樣各個(gè)客戶端每次撥入VPN 后都會(huì)得到相同的IP 。如果用戶沒(méi)設(shè)置為“分配靜態(tài)IP 地址”，客戶端每次撥入到VPN ，VPN 服務(wù)器會(huì)隨機(jī)給這個(gè)客戶端分配一個(gè)范圍內(nèi)的IP 。

四 配置windows 2003 客戶端

客戶端可以是windows 2003，也可以是Windows XP ，設(shè)置幾乎一樣，這里以2003客戶端設(shè)置為例。

選擇程序――附件――通訊――新建連接向?qū)?，啟?dòng)連接向?qū)?/p>

這里選擇第二項(xiàng)“連接到我的工作場(chǎng)所的網(wǎng)絡(luò)”，這個(gè)選項(xiàng)是用來(lái)連接VPN 的。下一步。

選擇“虛擬專用網(wǎng)絡(luò)連接”，下一步。

在“連接名”窗口，填入連接名稱szbti ，下一步。

這里要填入VPN 服務(wù)器的公網(wǎng)IP 地址。

下一步，完成新建連接。

完成后，在控制面板的網(wǎng)絡(luò)連接中的虛擬專用網(wǎng)絡(luò)下面可以看到剛才新建的szbti 連接

在szbti 連接上點(diǎn)擊右鍵，選“屬性”，在彈出的窗口中點(diǎn)擊“網(wǎng)絡(luò)”標(biāo)簽，然后選中“internet 協(xié)議(tcp/ip)”，點(diǎn)擊屬性按鈕，在彈出的窗口中再點(diǎn)擊“高級(jí)”按鈕，如圖，

把“在遠(yuǎn)程網(wǎng)絡(luò)上使用默認(rèn)網(wǎng)關(guān)”前面的勾去掉。

如果不去掉這個(gè)勾，客戶端撥入到VPN 后，將使用遠(yuǎn)程的網(wǎng)絡(luò)作為默認(rèn)網(wǎng)關(guān)，導(dǎo)致的后果就是客戶端只能連通虛擬局域網(wǎng)，上不了因特網(wǎng)了。

下面就可以開(kāi)始撥號(hào)進(jìn)入VPN 了，雙擊szbti 連接，輸入分配給這個(gè)客戶端的用戶名和密碼，撥通后在任務(wù)欄的右下角會(huì)出現(xiàn)一個(gè)網(wǎng)絡(luò)連接的圖標(biāo)，表示已經(jīng)撥入到VPN 服務(wù)器。

一旦進(jìn)入虛擬局域網(wǎng)，客戶端設(shè)置共享文件夾，別的客戶端就可以通過(guò)其他客戶端ip 地址訪問(wèn)它的共享文件夾。