简介

让远程用户连接Exchange Server的传统解决方案是使用Outlook Web Access.然而，为何不使用虚拟专用网（Virtual Private Network，VPN）让你的远程用户与你的Exchange连接在一起呢？

如果你不熟悉VPN，我将向你介绍，VPN是穿越不安全的网络，譬如Internet的一个逻辑的、安全的网络连接。远程用户能够通过他们的已经存在的Internet连接，安全地连接进入你的网络，就像他们亲自在办公室中一样。另外一个优势是，VPN是交换独立的，这意味着你能够使用VPN连接访问Exchange Server，而不用考虑版本问题，并且你还可以使用VPN连接访问其它网络资源。

VPN技术对机构和很多远程用户来说，是极端有用的，但在设定上，它可能有些复杂。下面的指南将手把手的教你如何建立VPN，它包含各个步骤详细的操作流程。

第一步：系统需求

VPN分为两种，一种是硬件解决方案，一种是软件解决方案，在这个手把手的指南中，我将介绍一种软件解决方案，即使用Microsoft产品建立VPN.

为了架设VPN，你将需要三个独立的Windows 2003服务器和至少一个远程用户，远程用户的机器上需要运行Windows XP操作系统。

你的VPN需要的第一台Windows 2003服务器是一台基本的基础设施服务器，它必须作为一台域控制器（domain controller），DHCP服务器（DHCP server），DNS服务器（DNS Server）和认证中心（certificate authority）。如果你的网络中已经有一台Windows 2003服务器，你就不需要去购买一台服务器担当此角色。

任何Windows 2003域都至少有一台域控制器和一台作为DNS的服务器，多数Windows 2003网络同时运行DHCP服务。如果你所有的这些服务已经到位，你所关心的唯一的事情就是设置一个认证中心（我将在第三步为你说明如何做这件事情）。下载，你只需知道作为认证中心的那台服务器必需运行Windows Server 2003 Enterprise Edition操作系统。

你需要的第二台服务器将是VPN服务器（VPN server），Windows Server 2003 Standard Edition和Enterprise Edition都提供了VPN服务器的必要软件，因此，你不需要在这台服务器上安装任何特别的软件。唯一特别的是硬件上，这台服务器需要双网卡，一块网卡连接Internet，另一块网卡则连接你的专用企业网络。

你需要的最后一台服务器将是认证服务器（authentication server）。当远程用户通过VPN尝试进入你的企业网络时，他们必需通过认证。远程用户认证的机制可以选择RADIUS服务器（RADIUS server），RADIUS 是Remote Authentication Dial In User Service（远程身份验证拨入用户服务）的首字母缩写。在Windows Server 2003 Standard Edition和Enterprise Edition中，包含有微软自有版本的RADIUS.微软的RADIUS叫做Internet验证服务（Internet Authentication Service，IAS），对这台服务器来说，没有特殊的硬件和软件要求。

在这一部分，最后我想说的是服务器的安置问题。任何一台我谈论到的服务器都将通过Hub或交换机接入你的专用网络，唯一与外界连接的服务器是你的VPN服务器，但将VPN服务器直接与Internet连接将会带来安全风险，因此，在VPN服务器的前面放置一台防火墙是很好的解决办法，你可以用它过滤掉除了VPN通讯外所有其它的信息。

在第二步，我们将开始配置域的过程，所以在进入下一步之前，你的网络中必需包含必需的Windows 2003域控制器和DNS服务器。

第二步：实施DHCP服务

1.打开服务器的控制面板，选择“添加或删除程序”。

2.当“添加或删除程序”对话框出现时，点击“添加/删除Windows组件”按钮。

3.在弹出的窗口中，选择“网络服务”，按下“详细信息”。

4.现在从网络服务列表中选择“动态主机配置协议（DHCP）”，然后单击“确定”，进行下一步操作。

Windows现在将安装DHCP服务，安装结束后，你将要创建一个地址范围，并且启动DHCP服务器，在你的网络上运行。

5.为了做到这些，请在控制面板――管理工具中选择动态主机配置协议（DHCP）配置，打开DHCP管理器。

6.在DHCP管理器中你的服务器上单击右键，选择启动（Authorize）。

7.启动DHCP服务器后，在DHCP管理器的服务器列表窗口中单击右键，选择“新建作用域（New Scope）”，这将启动新建作用域向导。

8.点击下一步略过向导的欢迎界面。

9.输入你正在创建的作用域的名称，并且点击下一步。（你可以输入任何你想到的名称，但在这个教程中，我将命名此作用域为“Corporate Network”。）

10.现在你将需要填入IP地址范围。在这里只需输入你已经使用的起始IP地址和结束IP地址，但注意不要与已经存在的IP地址冲突。长度和子网掩码部分则会自动输入，不需要你的干涉，当然，你也可以手动调节这两者的值。

11.接下来的三个画面包括一些你不必关心的设置，连续三次点击下一步，直到你进入“路由（默认网关）（Router （Default Gateway））”界面。

12.输入你网络网关的IP地址，点击添加，然后下一步。

13.输入你的域的名称和你的DHCP服务器的IP地址（IP address of your DHCP server），然后点击下一步。

14.单击下一步略过WINS配置窗口。

15.最后，根据提示选“是，我想激活作用域（Yes， I Want To Activate The Scope Now）”再点击“完成”即可结束最后设置。

第三步：创建一个企业认证中心

在我向你讲述如何创建一个企业认证中心之前，我将告诉你几个必需注意的事项。安装认证中心并不是一个轻松的过程，如果一个未经授权的用户进入了你的认证中心，他将几乎控制你的所有网络。同样，如果认证中心服务器当机，它可能对给你的网络带来毁灭性的破坏。

所以，一定要像保护原子弹一样保护你的认证中心，确保认证中心尽可能的安全，并频繁的做好全系统的备份，你还需要保护这些备份，以防止它们偶然地出现问题。下面是创建企业认证中心的具体过程。