讓遠(yuǎn)程用戶(hù)連接Exchange Server的傳統(tǒng)解決方案是使用Outlook Web Access.然而，為何不使用虛擬專(zhuān)用網(wǎng)（Virtual Private Network，VPN）讓你的遠(yuǎn)程用戶(hù)與你的Exchange連接在一起呢？

如果你不熟悉VPN，我將向你介紹，VPN是穿越不安全的網(wǎng)絡(luò)，譬如 Internet的一個(gè)邏輯的、安全的網(wǎng)絡(luò)連接。遠(yuǎn)程用戶(hù)能夠通過(guò)他們的已經(jīng)存在的Internet連接，安全地連接進(jìn)入你的網(wǎng)絡(luò)，就像他們親自在辦公室 中一樣。另外一個(gè)優(yōu)勢(shì)是，VPN是交換獨(dú)立的，這意味著你能夠使用VPN連接訪問(wèn)Exchange Server，而不用考慮版本問(wèn)題，并且你還可以使用VPN連接訪問(wèn)其它網(wǎng)絡(luò)資源。

VPN技術(shù)對(duì)機(jī)構(gòu)和很多遠(yuǎn)程用戶(hù)來(lái)說(shuō)，是極端有用的，但在設(shè)定上，它可能有些復(fù)雜。下面的指南將手把手的教你如何建立VPN，它包含各個(gè)步驟詳細(xì)的操作流程。
 
第一步：系統(tǒng)需求

VPN分為兩種，一種是硬件解決方案，一種是軟件解決方案，在這個(gè)手把手的指南中，我將介紹一種軟件解決方案，即使用Microsoft產(chǎn)品建立VPN. 為了架設(shè)VPN，你將需要三個(gè)獨(dú)立的Windows 2003服務(wù)器和至少一個(gè)遠(yuǎn)程用戶(hù)，遠(yuǎn)程用戶(hù)的機(jī)器上需要運(yùn)行Windows XP操作系統(tǒng)。

你的VPN需要的第一臺(tái)Windows 2003服務(wù)器是一臺(tái)基本的基礎(chǔ)設(shè)施服務(wù)器，它必須作為一臺(tái)域控制器（domain controller），DHCP服務(wù)器（DHCP server），DNS服務(wù)器（DNS Server）和認(rèn)證中心（certificate authority）。如果你的網(wǎng)絡(luò)中已經(jīng)有一臺(tái)Windows 2003服務(wù)器，你就不需要去購(gòu)買(mǎi)一臺(tái)服務(wù)器擔(dān)當(dāng)此角色。
 
任何Windows 2003域都至少有一臺(tái)域控制器和一臺(tái)作為DNS的服務(wù)器，多數(shù)Windows 2003網(wǎng)絡(luò)同時(shí)運(yùn)行DHCP服務(wù)。如果你所有的這些服務(wù)已經(jīng)到位，你所關(guān)心的唯一的事情就是設(shè)置一個(gè)認(rèn)證中心（我將在第三步為你說(shuō)明如何做這件事情）。 下載，你只需知道作為認(rèn)證中心的那臺(tái)服務(wù)器必需運(yùn)行Windows Server 2003 Enterprise Edition操作系統(tǒng)。

你需要的第二臺(tái)服務(wù)器將是VPN服務(wù)器（VPN server），Windows Server 2003 Standard Edition和Enterprise Edition都提供了VPN服務(wù)器的必要軟件，因此，你不需要在這臺(tái)服務(wù)器上安裝任何特別的軟件。唯一特別的是硬件上，這臺(tái)服務(wù)器需要雙網(wǎng)卡，一塊網(wǎng)卡 連接Internet，另一塊網(wǎng)卡則連接你的專(zhuān)用企業(yè)網(wǎng)絡(luò)。
 
你需要的最后一臺(tái)服務(wù)器將是認(rèn)證服務(wù)器（authentication server）。當(dāng)遠(yuǎn)程用戶(hù)通過(guò)VPN嘗試進(jìn)入你的企業(yè)網(wǎng)絡(luò)時(shí)，他們必需通過(guò)認(rèn)證。遠(yuǎn)程用戶(hù)認(rèn)證的機(jī)制可以選擇RADIUS服務(wù)器（RADIUS server），RADIUS 是Remote Authentication Dial In User Service（遠(yuǎn)程身份驗(yàn)證撥入用戶(hù)服務(wù)）的首字母縮寫(xiě)。在Windows Server 2003 Standard Edition和Enterprise Edition中，包含有微軟自有版本的RADIUS.微軟的RADIUS叫做Internet驗(yàn)證服務(wù)（Internet Authentication Service，IAS），對(duì)這臺(tái)服務(wù)器來(lái)說(shuō)，沒(méi)有特殊的硬件和軟件要求。

在這一部分，最后我想說(shuō)的是服務(wù)器的安置問(wèn)題。任何一臺(tái)我談?wù)摰降姆?wù)器都將通過(guò) Hub或交換機(jī)接入你的專(zhuān)用網(wǎng)絡(luò)，唯一與外界連接的服務(wù)器是你的VPN服務(wù)器，但將VPN服務(wù)器直接與Internet連接將會(huì)帶來(lái)安全風(fēng)險(xiǎn)，因此，在 VPN服務(wù)器的前面放置一臺(tái)防火墻是很好的解決辦法，你可以用它過(guò)濾掉除了VPN通訊外所有其它的信息。

在第二步，我們將開(kāi)始配置域的過(guò)程，所以在進(jìn)入下一步之前，你的網(wǎng)絡(luò)中必需包含必需的Windows 2003域控制器和DNS服務(wù)器。

第二步：實(shí)施DHCP服務(wù)
 
1.打開(kāi)服務(wù)器的控制面板，選擇“添加或刪除程序”。
2.當(dāng)“添加或刪除程序”對(duì)話框出現(xiàn)時(shí)，點(diǎn)擊“添加/刪除Windows組件”按鈕。
3.在彈出的窗口中，選擇“網(wǎng)絡(luò)服務(wù)”，按下“詳細(xì)信息”。
4.現(xiàn)在從網(wǎng)絡(luò)服務(wù)列表中選擇“動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）”，然后單擊“確定”，進(jìn)行下一步操作。
Windows現(xiàn)在將安裝DHCP服務(wù)，安裝結(jié)束后，你將要?jiǎng)?chuàng)建一個(gè)地址范圍，并且啟動(dòng)DHCP服務(wù)器，在你的網(wǎng)絡(luò)上運(yùn)行。
5.為了做到這些，請(qǐng)?jiān)诳刂泼姘濞D―管理工具中選擇動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）配置，打開(kāi)DHCP管理器。
6.在DHCP管理器中你的服務(wù)器上單擊右鍵，選擇啟動(dòng)（Authorize）。
7.啟動(dòng)DHCP服務(wù)器后，在DHCP管理器的服務(wù)器列表窗口中單擊右鍵，選擇“新建作用域（New Scope）”，這將啟動(dòng)新建作用域向?qū)А?
8.點(diǎn)擊下一步略過(guò)向?qū)У臍g迎界面。
9.輸入你正在創(chuàng)建的作用域的名稱(chēng)，并且點(diǎn)擊下一步。（你可以輸入任何你想到的名稱(chēng)，但在這個(gè)教程中，我將命名此作用域?yàn)椤癈orporate Network”。）
10.現(xiàn)在你將需要填入IP地址范圍。在這里只需輸入你已經(jīng)使用的起始IP地址和結(jié)束IP地址，但注意不要與已經(jīng)存在的IP地址沖突。長(zhǎng)度和子網(wǎng)掩碼部分則會(huì)自動(dòng)輸入，不需要你的干涉，當(dāng)然，你也可以手動(dòng)調(diào)節(jié)這兩者的值。
11.接下來(lái)的三個(gè)畫(huà)面包括一些你不必關(guān)心的設(shè)置，連續(xù)三次點(diǎn)擊下一步，直到你進(jìn)入“路由（默認(rèn)網(wǎng)關(guān)）（Router （Default Gateway））”界面。
12.輸入你網(wǎng)絡(luò)網(wǎng)關(guān)的IP地址，點(diǎn)擊添加，然后下一步。
13.輸入你的域的名稱(chēng)和你的DHCP服務(wù)器的IP地址（IP address of your DHCP server），然后點(diǎn)擊下一步。
14.單擊下一步略過(guò)WINS配置窗口。
15.最后，根據(jù)提示選“是，我想激活作用域（Yes， I Want To Activate The Scope Now）”再點(diǎn)擊“完成”即可結(jié)束最后設(shè)置。
 
第三步：創(chuàng)建一個(gè)企業(yè)認(rèn)證中心

在我向你講述如何創(chuàng)建一個(gè)企業(yè)認(rèn)證中心之前，我將告訴你幾個(gè)必需注意的事項(xiàng)。安裝認(rèn)證中心并不是一個(gè)輕松的過(guò)程，如果一個(gè)未經(jīng)授權(quán)的用戶(hù)進(jìn)入了你的認(rèn)證中心，他將幾乎控制你的所有網(wǎng)絡(luò)。同樣，如果認(rèn)證中心服務(wù)器當(dāng)機(jī)，它可能對(duì)給你的網(wǎng)絡(luò)帶來(lái)毀滅性的破壞。

所以，一定要像保護(hù)原子彈一樣保護(hù)你的認(rèn)證中心，確保認(rèn)證中心盡可能的安全，并頻繁的做好全系統(tǒng)的備份，你還需要保護(hù)這些備份，以防止它們偶然地出現(xiàn)問(wèn)題。下面是創(chuàng)建企業(yè)認(rèn)證中心的具體過(guò)程。

1. 打開(kāi)服務(wù)器的控制面板，選擇“添加或刪除程序”，點(diǎn)擊其中的“添加/刪除Windows組件”按鈕。
2.選擇Windows組件中的“證書(shū)服務(wù)”。
3.你將會(huì)看到一個(gè)警告窗口，上面的信息為：“安裝證書(shū)服務(wù)后，計(jì)算機(jī)名和域成員身 份都不能更改，因?yàn)橛?jì)算機(jī)名到CA信息的綁定存儲(chǔ)在Active Directory中。更改計(jì)算機(jī)名或域成員身份將使此CA頒發(fā)的證書(shū)無(wú)效。在安裝證書(shū)服務(wù)前請(qǐng)確認(rèn)配置了正確的計(jì)算機(jī)名和域成員身份。您想繼續(xù)嗎？”點(diǎn) 擊“是”，接受這一警告信息，并點(diǎn)擊“下一步”，開(kāi)始安裝證書(shū)服務(wù)。
4.選擇“獨(dú)立根CA”作為你想安裝的CA類(lèi)型，并點(diǎn)擊下一步。
在這里，為自己的CA服務(wù)器取個(gè)名字，設(shè)置證書(shū)的有效期限。默認(rèn)的證書(shū)有效期限為5年，不過(guò)你可以通過(guò)企業(yè)安全策略來(lái)增加或減少此有效期限。
5.填寫(xiě)好這兩個(gè)文本框，點(diǎn)擊下一步，Windows將開(kāi)始生成加密密鑰。
6.最后指定證書(shū)數(shù)據(jù)庫(kù)和證書(shū)數(shù)據(jù)庫(kù)日志的位置，按照默認(rèn)即可，除非你自己想更換路徑，然后點(diǎn)擊下一步。
7.現(xiàn)在將出現(xiàn)一則消息，提示W(wǎng)indows必需重新啟動(dòng)IIS服務(wù)，才能夠讓證書(shū)服務(wù)正常運(yùn)行。點(diǎn)擊“是”，Windows將安裝必要的組件。

第四步：安裝Internet驗(yàn)證服務(wù)

Internet驗(yàn)證服務(wù)是Windows Server 2003實(shí)施RADIUS的一種服務(wù)，Internet驗(yàn)證服務(wù)將認(rèn)證那些通過(guò)VPN連接進(jìn)入你的企業(yè)網(wǎng)絡(luò)的用戶(hù)，因此，你的Internet驗(yàn)證服務(wù)器 必需是你的域服務(wù)器中的一員，并且運(yùn)行Windows Server 2003操作系統(tǒng)。為了正確安裝IAS，請(qǐng)遵循以下的步驟：

1.定位到開(kāi)始 | 設(shè)置 | 控制面板（Start| Settings | Control Panel）。
2.雙擊添加或刪除程序（Add/Remove Programs）。
3.選擇添加/刪除Windows組件（Add/Remove Windows Components）。
4.在組件列表中，選擇網(wǎng)絡(luò)服務(wù)（Networking Services），并點(diǎn)擊詳細(xì)內(nèi)容。
5.選擇Internet驗(yàn)證服務(wù)（Internet Authentication Service）的確認(rèn)框，然后點(diǎn)擊OK，并點(diǎn)擊下一步。
完成安裝之后，系統(tǒng)中將具有用于因特網(wǎng)認(rèn)證服務(wù)的管理工具的一個(gè)新的連接。接著，你必須為每一臺(tái)機(jī)器設(shè)置一個(gè)客戶(hù)端，并指定一個(gè)遠(yuǎn)距離訪問(wèn)規(guī)范以控制訪問(wèn)。

第五步：配置Internet驗(yàn)證服務(wù)

1.進(jìn)入管理工具（Administrative Tools）-> Internet驗(yàn)證服務(wù)（Internet Authentication Service）。
2.在這里，你需要做的第一件事情是在活動(dòng)目錄（Active Directory）中注冊(cè)你的Internet驗(yàn)證服務(wù)器。為了做到這些，請(qǐng)?jiān)贗nternet驗(yàn)證服務(wù)器（本地）（Internet Authentication Service （Local））容器上單擊右鍵，選擇在活動(dòng)目錄中注冊(cè)服務(wù)器（Register Server in Active Directory）。
3.點(diǎn)擊確定完成注冊(cè)過(guò)程。
4.現(xiàn)在，在RADIUS客戶(hù)（RADIUS Clients）容器上單擊右鍵，選擇新RADIUS客戶(hù)（RADIUS Clients）。如果你正好直到你某臺(tái)客戶(hù)端機(jī)器的IP地址或DNS名稱(chēng)，繼續(xù)下去，輸入一個(gè)友好的名字。否則，暫時(shí)將它留空，在隨后的設(shè)置客戶(hù)端連接 時(shí)再進(jìn)行填寫(xiě)。
5.點(diǎn)擊下一步。
6.此時(shí)，會(huì)提示你輸入一個(gè)共享的密鑰。共享密鑰是RADIUS服務(wù)器和客戶(hù)端同時(shí)使用的密鑰，確定客戶(hù)端供應(yīng)商選項(xiàng)設(shè)置為RADIUS標(biāo)準(zhǔn)，輸入一個(gè)共享密鑰值，點(diǎn)擊完成。
 
第六步：創(chuàng)建遠(yuǎn)程訪問(wèn)策略

1. 在Internet驗(yàn)證服務(wù)控制臺(tái)，右擊遠(yuǎn)程訪問(wèn)策略（Remote Access Policies）容器，選擇新建遠(yuǎn)程訪問(wèn)策略（New Remote Access Policy）選項(xiàng)，這將啟動(dòng)新建遠(yuǎn)程訪問(wèn)策略向?qū)А?
2. 在歡迎使用新建遠(yuǎn)程訪問(wèn)策略向?qū)ы?yè)，點(diǎn)擊下一步。
3.在策略配置方式頁(yè)，選擇使用向?qū)橥ㄓ铆h(huán)境建立典型的策略（Typical Policy for a Common Scenario）選項(xiàng)，在策略名字文本框中輸入一個(gè)名字，在此我們命名為“VPN Access”，點(diǎn)擊下一步。
4.在訪問(wèn)方式頁(yè)，選擇VPN 選項(xiàng)，然后點(diǎn)擊Next.
5.在訪問(wèn)的組或者用戶(hù)頁(yè)，選擇組或用戶(hù)，然后點(diǎn)擊添加。如果你還沒(méi)有做這一步，我建議你花一些事件創(chuàng)建一個(gè)建立在能夠通過(guò)VPN訪問(wèn)網(wǎng)絡(luò)的用戶(hù)紙上的活動(dòng)目錄組，然后將這個(gè)組添加進(jìn)入策略。
6.點(diǎn)擊下一步，進(jìn)入認(rèn)證方法窗口。
7.確認(rèn)選擇了“Microsoft Encrypted Authentication version 2 （MS CHAPV2） ”，然后點(diǎn)擊下一步。
8.在策略加密級(jí)別頁(yè)，確認(rèn)只選擇了“Strong encryption”選項(xiàng)，隨后點(diǎn)擊下一步，根據(jù)向?qū)?，在完成新建遠(yuǎn)程訪問(wèn)策略向?qū)ы?yè)點(diǎn)擊完成。

第七步：配置VPN服務(wù)器

1.開(kāi)始，請(qǐng)打開(kāi)服務(wù)器的網(wǎng)絡(luò)連接（Network Connections）目錄，并將連接重命名為有意義的名字，例如，你可以將連接命名為企業(yè)和Internet，或者其它你喜歡的名字。
2.進(jìn)入管理工具（Administrative Tools）->路由和遠(yuǎn)程訪問(wèn)（Routing and Remote Access），打開(kāi)路由和遠(yuǎn)程訪問(wèn)管理器。
3.在管理器目錄數(shù)中，右鍵單擊你的VPN服務(wù)器，選擇配置和啟用路由和遠(yuǎn)程訪問(wèn) （Configure and Enable Routing and Remote Access），這將載入路由和遠(yuǎn)程訪問(wèn)服務(wù)器設(shè)置向?qū)В≧outing and Remote Access Server Setup Wizard）。
4.點(diǎn)擊下一步，略過(guò)向?qū)У臍g迎頁(yè)面，然后你將看到向?qū)У呐渲么翱凇?
5.選擇遠(yuǎn)程訪問(wèn)（撥號(hào)或VPN）Remote Access （Dial-Up or VPN），然后點(diǎn)擊下一步。
6.選中VPN前面的復(fù)選框，點(diǎn)擊下一步。
7.現(xiàn)在，你將看到一個(gè)窗口，此窗口中顯示有你的機(jī)器的網(wǎng)絡(luò)連接。選擇連接Internet的那個(gè)連接，確認(rèn)啟用安全（Enable Security）復(fù)選框被選擇，然后單擊下一步。
8.確認(rèn)選中了自動(dòng)（Automatically），并點(diǎn)擊下一步。
9.現(xiàn)在，在選項(xiàng)中選擇和設(shè)置跟RADIUS服務(wù)器一起工作的服務(wù)器，并單擊下一步。
10.輸入你的RADIUS服務(wù)器的IP地址，和你為RADIUS服務(wù)器分配的共享密鑰信息。
11.點(diǎn)擊下一步，點(diǎn)擊完成。

第八步：使VPN服務(wù)器和DHCP服務(wù)器關(guān)聯(lián)起來(lái)

1.在路由和遠(yuǎn)程訪問(wèn)控制臺(tái)目錄數(shù)中指向你的服務(wù)器->IP路由（IP Routing）->DCHP中繼代理（DHCP Relay Agent）。
2.在DHCP中繼代理上單擊右鍵，選擇屬性（Properties）。
3.輸入你的DHCP服務(wù)器的IP地址，點(diǎn)擊添加，然后再單擊確定。
現(xiàn)在你的VPN服務(wù)器已經(jīng)配置好了。萬(wàn)事俱備，剩下的唯一要做的就是配置你的客戶(hù)端，使它們與你剛剛創(chuàng)建的VPN服務(wù)協(xié)同工作。
 
第九步：配置遠(yuǎn)程客戶(hù)端

你應(yīng)該可以記起，我們必需為那些能夠通過(guò)VPN訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)的用戶(hù)創(chuàng)建一個(gè)特別的安全組。所以，我假設(shè)你的遠(yuǎn)程用戶(hù)已經(jīng)被加入必要的組，并且客戶(hù)端的計(jì)算機(jī)已經(jīng)接入了Internet.
允許一臺(tái)運(yùn)行Windows XP操作系統(tǒng)的客戶(hù)端計(jì)算機(jī)訪問(wèn)你的專(zhuān)用網(wǎng)絡(luò)，就必需告訴它們?nèi)绾问褂肰PN連接。
1.為了做到這些，請(qǐng)打開(kāi)控制面板（Control Panel），選擇網(wǎng)絡(luò)和Internet連接（Network and Internet Connections）選項(xiàng)。
2.創(chuàng)建一個(gè)新連接，在向?qū)е羞x擇連接到我的工作場(chǎng)所的網(wǎng)絡(luò)（Connection to the Network At Your Workplace）選項(xiàng)。
3.Windows現(xiàn)在將詢(xún)問(wèn)你，想創(chuàng)建一個(gè)撥號(hào)連接（dial-up connection），還是一個(gè)虛擬專(zhuān)用網(wǎng)絡(luò)連接（VPN connection）。選擇虛擬專(zhuān)用網(wǎng)絡(luò)連接，點(diǎn)擊下一步。
4.在這一步，你將看到公司名的項(xiàng)目，你能夠在這里輸入你公司的名字，你連接的服務(wù)器的名字，或者其它你用來(lái)描述連接的東西。
5.點(diǎn)擊下一步，你將被要求輸入你正連接的計(jì)算機(jī)的主機(jī)名或IP地址，請(qǐng)?zhí)钊肽愕腣PN服務(wù)器的外網(wǎng)IP地址（即連接進(jìn)入Internet的IP地址）。
6.再次單擊下一步 ，根據(jù)向?qū)ё詈笸瓿赡愕腣PN連接創(chuàng)建。

第十步：測(cè)試客戶(hù)端連接

1.雙擊可用連接列表中的VPN連接。
2.你將被要求輸入用戶(hù)名和密碼。為了更好的使用VPN連接，我們還需要進(jìn)行一些設(shè)置，因此請(qǐng)點(diǎn)擊此界面中的屬性（Properties）按鈕。
3.在屬性窗口中，選擇網(wǎng)絡(luò)（Networking）標(biāo)簽。
4.選擇VPN類(lèi)型為PPTP VPN，按下確定按鈕。
5.現(xiàn)在你將回到VPN連接登陸窗口，以domain/username格式輸入你的用戶(hù)名。