IT博客-两极人生，八度空间-随笔分类-Server management

ePO Failed to enumerate domains, authentication required

Jerome — Tue, 15 Jun 2010 14:51:00 GMT

Once i completed the ePO v4.5 installation, what's more sign in all necessary packages. when i plan to add a new system into the orgnaiztion by clicking the browsing button, waiting for a minute, and it requires me to provide the domain credentials for browsing. However, it's unexpected that it reports ePO failed to enumerate domains and authentication requried.

i turn off the firewall on Domain Controller, can check the account permissions ok. I can't figure out what is the matter. I have no way but to search the answer from internet, i hope there is one guy can provide the solve solution for me. Luckly, i found it after taking a lot of time.

One guy said that just enable the Computer Browse Service willl be ok.

Here, one point must be taken into atttention, because the Computer Browse Service is disabled by default on Windows Server 2008 for security. But the ePolicy Orchestrator V4.5 SP1 has to use this service.

Now, go ahead to start this service. Right click my computer->manage->configuration->services, double click on Computer Browse Service, and make it start automatically.

After the computer browse service is enalbed, and continue to execute the task of adding new system into system tree of ePO, everything goes well.

Jerome 2010-06-15 22:51 发表评论

Knowledgebase of how to solve the license loading fail issue for ePolicy Orchestrator

Jerome — Tue, 15 Jun 2010 14:28:00 GMT

Today, when finished the ePolicy Orchestrator v4.5 Patch1 installtion on Windows Server 2008, and logon successfully. However, after i restart the computer, and when i am preparing to logon the ePO server again, unfortunately, a window prompts that load the license fail and saying the license is invalid.

How to address this issue? i looked up the McAfee webiste, and got the license is stored in SQL Server database. Once the ePO server couldn't connect to SQL Server, it may appear this error.

Know how solution:

Step1: Check the SQL Server 2005 Network Configuration, remember the first to open SQL Server Configuration Manager,
and extend the SQL Server 2005 Network Configuration, click on Protocols for EPO( it's SQL Name instance), double click on TCP/IP, click on IP Address lable, drag the slider to the bottom, check what the TCP dynamic port is. Refer to below figure

Step 2: Check the ePO Server's database configuration.
Go to the directory "d:\program files\McAfee\ePolicy Orchestrator\Server\conf\orion\db.properties", and open it with notepad.
Carefully check the item "db.port=xxxx", to see whether the xxxx is equal as 1129, that is the TCP Dynamic ports for SQLServer.

Step 3: If the db.port with a different port value, it must be the true reason leading to the loading license fail issue. Correct the value equal to TCP dynamic port value for dp.port object.

Today, i encounted the problem just like this, so when i finished the correction of dp.port value as TCP dynamip ports's value, the issue disappeared at once.

Jerome 2010-06-15 22:28 发表评论

ISA2004 不能加入Window Server 2003域的解决方案

Jerome — Sun, 04 Apr 2010 07:10:00 GMT

今天做实验,所采用的设备及软件如下：
1.Microsoft ISA Server 2004: 硬件由VMware Workstation ACE 模拟。操作系统系统---Microsoft Windows Server 2003 Standard Edition Service Pack 1.

2. Domain Controller---已经安装AD和DNS。硬件由VMware Workstation ACE模拟。操作系统---Micorosoft Windows Server 2003 Enterprise Edition.

在安装Micorosoft ISA Server 2004前，ISA Server 没有加入域中，在完成安装后，想加入域（gcv.cn)中。right click->my computer->system properties->computer name->change->member of ->domain (gcv.cn)

结果报告一个错误：remote procedue call failure and didn't execute.

查看微软知识点，找到解决方案：

下载Microsoft ISA 2004 Server Patch1, 安装，重启ISA Server.，再加入域时，一切顺利。

Jerome 2010-04-04 15:10 发表评论

对等网络与其他系统（有外部时间源）之间的时间同步问题解决

Jerome — Tue, 24 Mar 2009 08:37:00 GMT

There is a case like this. There is an process automatic control system, which requires the system time to sychronize with an external time source (such as GPS), furthermore, this systems's time takes precedence of the windows system clock. It will override windows time changes. But how to implement it ?

There are a Windows client, a server connected to a dedicated system and an external GPS. The server is synchronizing with GPS, and the windows client will take the server's time as its time source.

I have tested the time synchronization between PRM client and PRM server（simulated）,the detailed process as below:

RRM server side:

In register, you need to change a item as picture shows:

Next, open group policy editor of RRM server and make a change:

2. What should be set on PRM client?

Everything as the document described what I have provided .

3.After finishing step 2 and 3, please use the following commands to restart W32time service and resynchronize with remote server. Note: this step will be performed on windows client machine.

It believe it will be success, good luck.

Jerome 2009-03-24 16:37 发表评论

windows域中时间同步的解决方案

Jerome — Tue, 24 Mar 2009 08:11:00 GMT

在windows 2003 active directory 架构的域当中。当客户端加入域后。那么域控制器就是一个time master,作为客户端的一个time source。理论上客户端会自动与DC进行时间同步。但实际，当客户端的时间发生变化后。是不能自动与域控制器进行时间同步的。要实现这个目的。我们还需要在DC上做些改变。将DC配置为不使用外部时间源，则更改DC上的公告标志。首先在“运行”中输入regedit 进入注册表编辑器。按下图修改。

配置为DC是使用自己的时钟来提供时间源。
为了能使域中的client能主动找DC进行时间同步。所以还需要在DC的默认域策略上对Windows time做个配置。如下图

这样，DC便成为了在Windows域中名副其实的time master。我们检测下客户端，改一下客户端的时间。然后再命令行界面下输入：
net stop w32time
net start w32time
那么你就会发现。你改变过的时间已经变回正常时间了。再来查看一下系统日志。如下图所示：

明显看出。client 192.168.5.30 与time source 192.168.5.1（DC）通过ntp 的123端口进行了时间同步。
关于windows域的时间同步就介绍到这里。

Jerome 2009-03-24 16:11 发表评论

关于WSUS server找不到client需要注意的几点

Jerome — Wed, 04 Mar 2009 02:41:00 GMT

在部署wsus后，需要通过组策略来实现client的更新。在DC上配置了Goup policy时，切记在option里要勾选no overide选项，否则默认的域策略会优先或者覆盖你自定义的策略。

查看策略是否生效，在command line下，使用“gpresult”。如要强制刷新组策略，可在client上使用"gpupdate /target:computer /force" 和“gpupdate /target:user /force”或者“gpupdate /force（同时刷新两项）”。

在wsus上要设定使用组策略来管理client，如要改变成员隶属组，可在管理控制台选项下，完成。然后再切换为使用组策略。

如果wsus无法发现client。需要检查以下选项：
1.浏览器是否设置成自动检测代理设定
2.auto update servce是否自动启动。
这个你可以使用wsus提供的wsusdiag工具实现。

如果还无法发现客户端。请在客户端的运行里使用命令：wuauclt.exe /detectnow 来启动windows的自动更新管理进程。然后再server端刷新。

这样，一般都会解决这个server找不到客户端的问题。

Jerome 2009-03-04 10:41 发表评论

windows 2003域信任相关的几点

Jerome — Mon, 12 Jan 2009 03:22:00 GMT

前几天做实验，讲到windows 2003域信任这个问题时。发现大家对域的单向信任和双向信任如何建立，比较模糊。尤其是对one-way trust中的income和outgoing不甚明白。所以在这里做个澄清。下面分别以域的单向信任和双向信任的加以说明。
在管理工具里，选active directory 域的信任和关系，进入管理console，在相应的域gcv.cn上右击选属性，如图所示：

选择“新建信任”

信任名称，可以选netbios名nst或者dns名称nst.cn来建立。这个信任名称，是指定域的名称。就我要信任的域的名称。在做这一步时，一定要dns的转发器中，将域nst.cn的dns添加上去。不然是无法与nst.cn建立信任关系的。准备工作完成后，进入下一步。

在选择建立域的单向信任时，在这里，需要注意的是：你要选择“单向内传(incoming)”还是“单向外穿(outgoing)”，这取决于你打算让这个域（gcv.cn)的用户在指定域（nst.cn）中得到身份验证还是相反。我这里做的是gcv.cn信任nst.cn。我希望gcv.cn里的用户在nst.cn中得到身份验证。所以选择单向：内传。
在创建单向信任时，有两种选择，如果在本地域中创建，那么需要在gcv.cn和nst.cn中都要建立单向信任。另外一个选择是，如果你有nst.cn域的管理员权限，那么你选择在两个域(gcv.cn和指定的域nst.cn)中创建单向信任。那么仅仅需要在gcv.cn中创建一次信任关系即可。

如果已经取得nst.cn的管理权限。进行下一步：

接下来，点下一步，并确认信任关系。那么这个单向信任关系，就算创建完成。
注意：如果你选择在本地域中创建信任关系，就就是选择了第一项。那么你需要在本地域和指定域中分别创建信任关系。并使用一个信任密码。在incoming端设定。

接下来，我们看双向信任关系怎么创建？
同样是进入管理工具，选择active directory 域和信任关系,在域gcv.cn上右键选择属性，输入信任名称nst.cn。我们选择信任方向为双向，如图所示：

就用户可在在两个域中进行交叉验证。点击下一步：

这里同样有两个选项。如果你没有指定域的权限，那么就选第一项，通过信任密码来建立信任。否则，可以选第二项，通过指定域的权限来在两个域中同时创建信任关系。这里我们看第一项。以为第二项的示例在单向信任中，已经介绍过。

对指定域的用户进行身份验证方法。根据你的ou情况而定。这里我们选择“选择性身份验证”。
然后进入下一步并设定信任密码：

如果指定域（nst.cn)已经建立了传出信任。那么在输入信任密码后。可以确认信任传入。否则，选择不确认信任传入。

至此，双向信任创建完成。那么gcv.cn和nst.cn的用户可以在彼此中进行身份验证和访问需要的资源。
至于要创建单向还是双向，都是依照你的需求和安全控制策略而定。

Jerome 2009-01-12 11:22 发表评论

局域网中架设Win 2003终端服务器

Jerome — Tue, 03 Apr 2007 02:16:00 GMT

摘要: 使Windows 2003成为真正的多会话操作系统，并让用户使用服务器上的各种合法资源，让我们一起学习一下windows 2003 终端服务器的一些东西吧。阅读全文

Jerome 2007-04-03 10:16 发表评论

什么是Virtuozzo技术?

Jerome — Sat, 17 Feb 2007 08:42:00 GMT

Virtuozzo概述

Virtuozzo 是一款成熟的服务器虚拟化软件产品， 2001 年即开始应用于实际生产环境。凭借低廉的管理费用和实用的设计，Virtuozzo成为生产型（实时运行应用服务和数据）服务器首选的虚拟化技术解决方案。Virtuozzo 允许 IT 组织能够随时满足 IT 基础设施和管理上不断增长的需求。Virtuozzo 的设计旨在确保 IT 组织通过先进的虚拟化技术最大化利用服务器资源，通过高级管理工具包轻松管理 IT 基础设施。Virtuozzo虚拟化技术完全支持可伸缩和可管理的分布式计算平台，在很多情况下，采用虚拟化技术都会加快或立即实现投资回报。

Virtuozzo在单个的物理服务器上创建多台完全隔离的虚拟环境(VE)，实现了硬件、许可证的共享，从而有效地进行资源管理。每个VE的运转与独立服务器完全一样。Virtuozzo虚拟化是独一无二的，因为这是唯一主要用于生产型服务器的虚拟化技术。

Virtuozzo体系结构

Virtuozzo技术原理。Virtuozzo为用户提供虚拟环境(VE)，VE用于安全隔离单个应用或一组相关应用，避免多个应用服务部署在同一台服务器时出现的相互干扰或冲突，使各应用能够完全隔离，和谐相处。Virtuozzo 允许在单个物理服务器上创建多个独立的虚拟环境 (VE) 以实现硬件、软件许可证和管理资源的共享。VE为运行在其中的应用程序提供了完整地虚拟操作系统环境，它拥有自己的注册表、文件系统，进程号，用户名/安全标识符(SID），TCP/IP地址，内核等。所有的系统资源和标识均被虚拟化。

VE不是虚拟机(VM)。VE与虚拟机(VM)不同，虚拟机采用虚拟硬件技术，利用软件模拟出来一台裸机，然后再安装独立的Windows操作系统。Virtuozzo采用虚拟操作系统技术，所有的VE共享相同的操作系统(和部分应用程序)包括硬盘和内存。VE无需安装独立的操作系统，因为它本身就提供了虚拟的操作系统环境。与VM不同,所有的VE仅需要维护一套操作系统实例，所以Virtuozzo虚拟化技术在提高资源利用率的同时，还大大降低了软件和管理成本。

操作系统虚拟化技术

Virtuozzo 操作系统虚拟化技术解决了在单个物理服务器上部署多个生产应用服务时所面临的挑战。同时，共享操作系统内核提供了更为有效的服务器资源利用且大大降低了处理损耗，允许上百个 Virtuozzo 的虚拟环境(VE) 在单个的物理服务器上正常运行。改善的虚拟化技术允许任何网络上的 VE都能够轻松且透明地迁移至其他服务器，并且实现了革命性的零宕机迁移，确保 IT 部门能够充分利用现有服务器并减少甚至消除服务器计划宕机。因此，Vrituozzo操作系统虚拟化技术是针对生产型服务器最完美的虚拟化解决方案。

Virtuozzo拥有如此优异的表现，完全是因为在以下几个方面进行了增强：

系统调用 Virtuozzo 的虚拟环境(VE)共用一个操作系统内核，在操作系统和虚拟化层之间无需再创建额外的系统调用。

文件系统共用数据只存储一次，并且可用于多个虚拟环境(VE)，这大大提高了磁盘空间和系统内存的效率。用于缓存的磁盘空间的使用也十分高效，仅缓存负载而非重复数据。

文件系统性能 Virtuozzo 优异的文件系统和高效系统调用设计产生非常低的 CPU 处理损耗。

文件系统内存缓冲区/缓存在整个物理服务器上，仅保存一份数据实例和缓存内容，最大化内存的效率。

内存管理 Virtuozzo 动态处理内存分配请求。Virtuozzo 环境中的应用服务可以展示出非常高的峰值性能。当环境资源需求随着时间不断增长时，Virtuozzo 的动态资源管理允许在不产生宕机时间的情况下增加资源分配。

高效的资源利用

Virtuozzo采用轻量级操作系统虚拟化技术，通过共享操作系统内核，为用户提供虚拟环境(VE)的方式提高服务器资源利用率。由于操作系统虚拟化技术本身具有的技术优势，Virtuozzo在以下各方面展示了其他虚拟化技术所不具有的高效。

• 资源利用高效——Virtuozzo采用轻量级操作系统虚拟化技术，其处理损耗仅占整个系统的1~3%，可以在一台服务器上实现上百个VE，充分利用服务器的硬件资源。
• 部署高效——采用全新的EZ模板，仅需几秒钟就可以开通全新的VE，无须安装操作系统，就可以直接为用户提供使用环境。
• 启动高效——VE的启动和停止需要不到一分钟的时间。因为底层操作系统本身已经正常运转，只有VE上特定的服务和应用程序需要启动，而不像虚拟机需要启动整个操作系统。较少的VE启动时间极大地减少了计划的宕机时间，例如，当服务器需要在安装完新的补丁时进行重启时的宕机时间。
• 备份/迁移高效——VE仅保存自身的代码和数据，而虚拟机则需要保存整个操作系统，所有的应用程序，交换文件等。显而易见，全新的VE镜像仅有30MB，不到虚拟机的百分之一。较小的VE镜像文件大小允许管理员高效地部署、迁移、备份和还原。
• 管理高效——Virtuozzo使用单个的操作系统实例来托管所有的VE，不管每台服务器有多少VE，只需要一次补丁就可以完成所有的VE更新。无论置身何处，管理员都可以使用基于浏览器的管理工具随时进行所有VE的管理工作，快捷高效。

Virtuozzo应用情景

卓越的性能允许Virtuozzo 虚拟服务器技术应用于多种不同的情景：

服务器和操作系统合并

Virtuozzo虚拟化服务器技术可以降低成本、系统复杂性并提升服务保障水平。拥有Virtuozzo之后，合并的不仅是服务器，还包括操作系统甚至是应用程序。此外，由于性能和可扩展性零损耗，任何作业都适合采用Virtuozzo虚拟化技术来进行合并。

动态负载管理

大多数企业生产环境中关键性作业通常要求满足实时更新资源分配，这需要在不同的服务器间迁移或完成单个服务器资源升级，Virtuozzo高效且全面动态的资源管理允许您无需提前购买昂贵的硬件设备，可以方便轻松的完成资源的更新。

保持业务连续性（真正实现零宕机）

Virtuozzo具有经济高效的高可用性和灾难恢复功能。其创新的零宕机迁移技术确保了在服务器迁移时，应用服务不会宕机，对终端用户影响几乎为零，将计划的宕机时间真正降低为零。

内部/商用的主机托管

Virtuozzo虚拟化服务器技术的高密度、高效的动态资源管理、高品质的服务产品完全满足未来全面自动化的数据中心的需求，允许数据中心为用户提供更加个性化的、更具吸引力的高利润服务，从而填补虚拟主机服务与独立主机服务之间的空缺。

研发/测试

Virtuozzo 独特的结构设计确保了虚拟化服务器密度达到最大化，研发部门和质保/测试部门可以采用上百个 VPS 为压力测试提供现实环境，测试批量部署、管理和硬件投资这些独立服务器所必需的功能。

集中的个人桌面管理

Windows平台一个非常有趣的应用是终端服务，但却存在用户操作功能上的限制。采用Virtuozzo后，就不会限制终端用户的操作，终端用户可以自由添加用户，安装应用程序，重启等。但是依然保留了高度集中的管理功能。

总结

Virtuozzo 是唯一专为虚拟化生产型服务器开发的虚拟化和自动化解决方案。Virtuozzo还是目前唯一一款能够支持Windows平台的操作系统虚拟化产品。Virtuozzo 允许企事业单位实现服务器合并，提高管理能力和服务水平，并显著降低企业的总拥有成本 (TCO)。

Jerome 2007-02-17 16:42 发表评论

服务器术语---热插拔

Jerome — Mon, 29 Jan 2007 06:07:00 GMT

热插拔(hot-plugging或Hot Swap)功能就是允许用户在不关闭系统，不切断电源的情况下取出和更换损坏的硬盘、电源或板卡等部件，从而提高了系统对灾难的及时恢复能力、扩展性和灵活性等，例如一些面向高端应用的磁盘镜像系统都可以提供磁盘的热插拔功能。

　　具体用学术的说法就是:热替换(Hot replacement)、热添加(hot expansion)和热升级(hot upgrade)，而热插拔最早出现在服务器领域，是为了提高服务器用性而提出的，在我们平时用的电脑中一般都有USB接口，这种接口就能够实现热插拔。如果没有热插拔功能，即使磁盘损坏不会造成数据的丢失，用户仍然需要暂时关闭系统，以便能够对硬盘进行更换，而使用热插拔技术只要简单的打开连接开关或者转动手柄就可以直接取出硬盘，而系统仍然可以不间断地正常运行。

　　实现热插拔需要有以下几个方面支持:总线电气特性、主板BIOS、操作系统和设备驱动。那么我们只要确定环境符合以上特定的环境，就可以实现热插拔。目前的系统总线支持部分热插拔技术，特别是从586时代开始，系统总线都增加了外部总线的扩展，因此这方面我们的顾虑可以消除。

　　从1997年开始，新的BIOS中增加了即插即用功能的支持，虽然这种即插即用的支持并不代表完全的热插拔支持，仅支持热添加和热替换，但这是我们热插拔中使用最多的技术了，所以主板BIOS这个问题也可以克服了。在操作系统方面，从Windows95开始就开始支持即插即用，但对于热插拔支持却很有限，直到NT 4.0开始，微软开始注意到NT操作系统将针对服务器领域，而这个领域中热插拔是很关键的一个技术。

　　所以操作系统中就增加了完全的热插拔支持，并且这个特性一直延续到基NT技术的Windows 2000/XP操作系统,因此只要使用NT4.0以上的操作系统，热插拔方面操作系统就提供了完备的支持。驱动方面，目前针对Windows NT,Novell的Netware,SCO UNIX的驱动都把热插拔功能整合了进去，只要选择针对以上操作系统的驱动，实现热插拔的最后一个要素就具备了。

　　通常来说，一个完整的热插拔系统包括热插拔系统的硬件，支持热插拔的软件和操作系统，支持热插拔的设备驱动程序和支持热插拔的用户接口。见下图。

　　我们知道，在普通电脑里，USB(通用串行总线)接口设备和IEEE 1394接口设备等都可以实现热插拔，而在服务器里可实现热插拔的部件主要有硬盘、CPU、内存、电源、风扇、PCI适配器、网卡等。购买服务器时一定要注意哪些部件能够实现热插拔，这对以后的工作至关重要

Jerome 2007-01-29 14:07 发表评论

Windows系统下VPN服务器故障排查

Jerome — Mon, 29 Jan 2007 06:02:00 GMT

Windows远程接入服务器允许VPN客户进行身份识别并且透明地连接到内部网络，就像直接连接到网络一样。这能够使用户以安全的方式进行远程工作。本文主要介绍在检查VPN连接故障时应该在服务器端解决的一些常见问题。

　　当一个VPN用户进行连接时，远程接入服务器有几个方面容易产生问题。VPN服务器必须进行恰当的设置以便允许远程接入。如果用户遇到连接问题，你要验证这个客户机的设置是正确的并且验证最终用户具有连接到这台服务器的能力。你可以按照如下步骤操作:

　　1.验证这台服务器已经启用了允许远程接入的功能。

　　按如下步骤操作:

　　检查路由和远程接入插件-->属性-->常规，并且验证远程接入服务器对话框已经选定。

　　2.验证身份识别提供商。

　　检查路由和远程接入插件-->属性-->安全，并且验证是否选择了RADIUS或者Windows身份识别。

　　3.验证身份识别的方法。

　　检查路由和远程接入插件-->属性-->安全，并且选择证书机制。这通常是某种形式的挑战握手验证协议(CHAP)。这个服务器还有其它必须恰当地配置的设置，包括IP路由、DHCP和PPP等IP设置。这些设置的验证步骤如下:

　　1.)验证这台服务器已经启用了允许IP路由的功能。

　　采取如下步骤:

　　查看路由和远程接入插件-->属性-->IP标签，并且验证服务器已设置为允许IP路由。还要验证服务器已经设置为允许基于IP的远程访问和需要拨号连接。

　　2.)验证服务器已经设置为可分配IP地址。

　　这个步骤可以通过一批静态地址或者DHCP来完成。检查路由和远程接入插件-->属性-->IP标签，然而点击DHCP或者静态地址池。如果点击了地址池，必须要设置大量的地址。

　　这就是windows VPN服务器的基本设置。还有很多与VPN会话有关的其它功能，如身份识别和加密。这些功能也可以引起故障。最佳方法是设法让用户连接和身份识别一个简单的会话。取消标准连接之外的所有的连接;然后，你可以把额外的安全功能添加到这个会话中。

　　要了解更多的有关Windows 2000 VPN客户端连接的问题和具体步骤以便验证客户端设置和网络连接，请阅读以前的讲座:玩转Windows VPN客户端。

Jerome 2007-01-29 14:02 发表评论

Windows 2003下VPN服务器架设

Jerome — Mon, 29 Jan 2007 05:58:00 GMT

VPN技术简介　　　

1.1 概述

VPN的全称是Virtual Private Network，翻译过来一般称为虚拟专用网络。其主要作用就是利用公用网络（主要是互联网）将多个私有网络或网络节点连接起来。通过公用网络进行连接可以大大降低通信的成本。

一般来说两台连接上互联网的计算机只要知道对方的IP地址，是可以直接同通信的。不过位于这两台计算机之后的网络是不能直接互联的，原因是这些私有的网络和公用网络使用了不同的地址空间或协议，即私有网络和公用网络之间是不兼容的。VPN的原理就是在这两台直接和公用连接的计算机之间建立一个条专用通道。连个私有网络之间的通信内容经过这两台计算机或设备打包通过公用网络的专用通道进行传输，然后在对端解包，还原成私有网络的通信内容转发到私有网络中。这样对于两个私有网络来说公用网络就像普通的通信电缆，而接在公用网络上的两台计算机或设备则相当于两个特殊的线路接头。

由于VPN连接的特点，私有网络的通信内容会在公用网络上传输，出于安全和效率的考虑一般通信内容需要加密或压缩。而通信过程的打包和解包工作则必须通过一个双方协商好的协议进行，这样在两个私有网络之间建立VPN通道是需要一个专门的过程，依赖于一系列不同的协议。这些设备和相关的设备和协议组成了一个VPN系统。一个完整的VPN系统一般包括以下几个单元：

VPN服务器，一台计算机或设备用来接收和验证VPN连接的请求，处理数据打包和解包工作。
VPN客户端，一台计算机或设备用来发起VPN连接的请求，也处理数据的打包和解包工作。
VPN数据通道，一条建立在公用网络上的数据连接。

注意所谓的服务器和客户端在VPN连接建立之后在通信的角色是一样的，服务器和客户端的区别在于连接是由谁发起的而已。这个概念在两个网络之间的连接尤其明显。

1.2 应用情景

我们可以设想一下的情景：公司的总部在广州，有两个办事处分别在香港和上海，两个办事处的网络需要和总部连接，同时办事处之间也需要相互连接。解决这种问题以前只有一种办法就是分别申请两条专线连接总部和两个办事处，两个办事处之前的通信通过总部转发。长途专线的费用是非常昂贵的，在以前也只有银行、证券公司以及大象企业才有能力负担。

有了互联网和VPN技术之后解决办法可以变成这样，总部通过一条专线和互联网连接，两个办事处分别在本地申请互联网的拨号连接。然后通过在互联网上建立两条VPN通道将三个网络连接起来。这样可以省去长途专线费用。不过互联网的专线连接也不便宜，这种解决方案暂时也只有大中型公司可以负担得起。

二、规划VPN接入环境

VPN不但可以用于上述网络对网络的连接，也可以用于单台计算机到网络的连接。在使用VPN的时候我们需要规划一下我们应用环境。

首先我们需要列出需要连接的节点以及节点的类型，以及之间的访问关系，即由谁发起连接和向谁发起连接的问题。这样我们可以确认在我们环境中确定哪些地方需要安装VPN服务器，哪些地方仅仅是配置客户端就可以了。

对于需要安装VPN服务器的地方我们需要一条比较高速的互联网线路，一个固定的IP地址，或者使用花生壳配置一个固定的域名。

下面的介绍时基于微软间操作系统进行的。微软的操作系统中提供VPN服务器功能的有Window 2000 Server和Advance Server，以及比较久的NT Server 4.0，当然这些操作系统也可以作为VPN的客户端。其他的则全部都可以作为VPN客户端。（Window95必须安装Dialup Network 1.3组件）。

确定了服务器和客户端之后，我们还需要规划个节点的IP地址。每个私有网络必须使用不同的地址段，在各自的地址段中必须划分出一部分用于VPN的接入。

以下的介绍我们都是围绕着Window2000的配置进行的。
三、配置VPN接入服务器

3.1 安装花生壳

只有VPN服务器才需要安装花生壳服务，在规划环境的时候必须为每台VPN服务器申请一个网域护照。这样每台服务器就会有一个不同的域名。在客户端拨号的时候可以通过域名控制连接不同的网络。

一般建议花生壳直接安装在VPN服务器上，并配置为自动启动。这样只要服务器在线域名一定有效。当然如果VPN服务器也提供互联网共享的话也可以将花生壳安装在内部网络的任何一台计算机上，不过必须保证这台计算机不会在服务器在线的时候关机，以免域名失效。

3.2 网络连接准备

作为VPN服务器实际上就是一台路由器，一般需要安装两块或以上的网卡，其中一块网卡负责和互联网连接。另一块网卡则连接内部网络。在进行下面的配置之前首先必须检测服务器和互联网的连接是否正常。

另外很重要的一点就是必须保证服务器和互联网连接的网卡获得的是一个公网地址，即接入的ISP不是使用地址转换技术。检测的办法如下：

在命令行输入ipconfig，检查和互联网连接的网卡的IP地址，如果其地址在下列范围之一则不是公网地址，ISP使用了地址转换技术提供接入服务。这样就必须更换ISP。
10.0.0.0-10.255.255.255
172.16.0.0-172.31.255.255
192.168.0.0-192.168.255.255

3.3 配置路由和远程访问服务

激活路由和远程访问服务
在安装Window 2000 服务器或高级服务器的时候路由和远程服务是默认安装好的，不过没有激活罢了，因此我们需要首先激活路由和远程访问服务。步骤如下：
在程序/管理工具中，点击“路由和远程访问”。打开路由和远程访问服务管理界面，见图3-1

图3-1

当前的管理界面中尚未添加服务器，所接下来需要将本机添加进去，方法是在服务器状态上按鼠标右键，选择添加服务器，打开添加服务器的对话框，选择“这台计算机”，见图3-2

图3-2

按确定之后管理界面出现本机，并且处于停止状态，见图3-3

图3-3
接下来需要激活本机的路由和远程访问服务，在本级服务器上按鼠标右键，选择配置和激活路由和远程访问服务。系统打开路由和远程访问服务安装向导。按下一步出现想到的功用设置页面，见图3-4。

图3-4

选择手动配置服务器，实际上这是最简单的配置方法，我们暂时撇开复杂的概念，这个选择实际上已经将大部分我们需要的功能完成了。按下一步然后完成，系统会询问是否启动路由和远程访问服务，回答是。然后我们又回到管理界面。见图3-5

图3-5

接下来我们所需要改动的地方只有一个就是配置VPN接入是分配的IP地址。

配置接入的IP地址

VPN服务在接受了VPN客户端的接入之后就会为客户端分配一个IP地址，客户端就是用这个地址和服务器或服务器连接的内部网络通信。这个地址需要实现分配好，这个地址可以有两种配置方法：

1、使用和内部网络相同的地址段，这样远程接入的VPN客户就和直接连接在内部网络的计算机一样，其网络配置和在公司内部的计算机没有什么区别。这种方式适合于单机拨入的情况，但不太适合网络对网络的VPN互联。

2、使用和内部网络不同的地址段，这时候VPN服务器相当于一台路由器，比较和与网络对网络的互联。对于单机就比较麻烦，对于接入移动式办公的电脑最好还是选用第一种方式。

配置接入地址段的方法也有两种方法，一种是利用DHCP服务器，另一种就是直接在接入服务器上配置。前一种方法需要介绍DHCP服务器的使用，这里就暂不介绍了。以下是配置接入服务器自己的地址段的方法。
在接入服务器上按鼠标右键，点击属性，打开服务器的属性对话框，选择IP页面，如图3-6

图3-6

选择“静态地址”，按添加打开静态地址配置对话框，如图3-7

图3-7

输入其实抵制和结束地质，注意地址数量必须比最大的接入数量多一个，因为服务总是占用地址段的第一个地址。

3.4 配置访问权限

用户必须有相应的权限才能使用接入服务，这个权限是在用户管理工具中配置的。如果使用活动目录则必须使用活动目录的拥护和计算机进行管理，如果使用本机的账号则使用计算机管理中的用户和组的功能。

远程拨入的权限是一个个用户配置的，默认情况下所有用户都没有拨入权限。我们在用户管理中选择需要拨入的用户，打开属性对话框，选择拨入页面。在远程访问权限中选择“允许访问”即可，见图3-8

图3-8

四、配置客户端

这里介绍的客户端指的是单台PC连接VPN服务器的情况，即单机和网络的连接。关于网络到网络的连接我将在后续的文章介绍。

单机连接2000Server做的VPN服务器非常简单，和平时Modem拨号上网差不多。区别在于原来填写电话号码的地方现在必须填写VPN服务器的Ip地址或域名。另外我们需要记住VPN是一种建立在已有的网络连接上的一种专用连接，即人和VPN都需要一个底层的网络连接，我们可以在建立VPN拨号连接的时候指定底层连接（如连接互联网的拨号连接），这样在拨VPN的时候计算机会自动拨互联网的连接。当然你如果使用多种互联网连接或直接使用局域网类型的连接。可以不指定这个底层连接，在拨VPN之前自己手工拨号上互联网。

建立VPN拨号连接的方法如下：

首先打开控制面板里面的网络和拨号连接，点击新建连接。系统会打开拨号连接向导，按下一步，进入网络连接类型的选择，如图4-1

图4-1

选择通过Internet连接到专用网络，按下一步，进入公用网络配置，见图4-2

图4-2

如果你使用的局域网形式的接入选择，不拨初始连接，如果你使用一个固定的拨号网络连接互联网，则选择自动拨此初始连接，并选择对应的拨号连接名称。按下一步，进入目标地址配置，见图4-3

图4-3

输入VPN服务器的IP地址或域名，如果你的VPN服务器采用的是动态连接，这时花生壳就显示出其威力了，只需要输入了VPN服务器的动态域名，我们就可以省去大笔固定线路的租用费用了。按下一步，输入新建VPN连接的名称，见图4-4

图4-4

至此VPN客户端配置完毕。如果你有多个VPN服务器可以重复上述步骤，为每个VPN接入服务器建立相应的连接。

Jerome 2007-01-29 13:58 发表评论