本次实验环境如下图所示

wKioL1UaTYeSrZdfAALgKOsw2Hk454.jpg

以上服务器均安装windows server 2003 R2 Enterprise x64 Edition

其中DCDHCP服务器已经安装配置完毕

 

一:安装radius服务器

1.首先安装windows server2003 R2 Enterprise x64 Edition

2.IP信息按照上图设置好

3.以管理员Administrator身份登录,把此计算机加入域(加域在此不做演示)

4.以域管理员wjcyf\Administrator身份登录,依次选择“控制面板”—“添加删除程序”——“添加/删除Windows组件”,打开“Windows组件向导”对话框,点击“网络服务”——“详细信息”如下图所示

wKioL1UaTbuggJrnAAHpFizv26g464.jpg

5.打开网络服务对话框,选中其中的“Internet验证服务”,如下图所示

wKiom1UaTJ_RxFyiAAGqTf-GHYk625.jpg

6.最后点击“确定”—“下一步”完成“Internet验证服务”的安装(安装过程中需要插入安装盘第一张光盘)

 

二:配置radius服务器

1.依次点击“开始”—“管理工具”—“Internet验证服务”,打开“Internet 验证服务”管理器,如下图所示

wKioL1UaTfOACxKLAAHnvBwU190122.jpg

2.右键“RADIUS客户端”选择“新建RADIUS客户端(C)”,如下图所示

wKioL1UaTqzAE1BxAAvy0AwGKo0688.bmp

3.打开“新建RADIUS客户端”对话框,需要填写的信息如下图所示

wKiom1UaTYWALq_3AADoTdJZZ-s772.jpg

4.点击“下一步”输入共享机密(***服务器端共享机密要和此处相同)

wKiom1UaTZbjdXJDAAEilwW5YQ0274.jpg

注:请求必须包括消息验证程序属性:如果双方所采用的验证方法是PAPCHAPMS-CHAPMS-CHAP v2的话,则您可以要求对方发送“消息验证程序属性”,以提高安全(可找出造假来源IP地址的RADIUS客户端)。若验证方法是采用EAP的话,他会自动启用此功能,不需要在此另外设置。

5.最后点击“完成”完成添加,下图为完成后的界面

wKioL1UaTuvxw9laAAFhkja2-SU899.jpg

6.点击“远程访问记录”,右击右方的“本地文件”选择属性,如下图所示

wKioL1UaTzqjEXsPAAs6mDRZETc844.bmp

7.打开“本地文件属性”对话框,勾选“记账请求”和“身份验证请求”,最后点击“确定”如下图所示

wKioL1UaT06zG8rpAADnGCKZrgs269.jpg

8.点击“远程访问策略”,可看到右方有两个默认的访问策略

wKiom1UaTiPCOc6TAAFfZM3pLQE750.jpg

9.双击“到Microsoft路由选择和远程访问服务的连接”策略,可看到其访问权限为“拒绝”,如下图所示

wKiom1UaTjeh4iq0AAGpqPDpIcQ268.jpg

10.新建远程访问策略

 

满足以下条件的,才能应用此策略

×××连接

◆隶属于域WJCYF内SalesGroup组(请先新建此组,并确认Alice用户在此组内,并且拨入属性为“通过远程访问策略控制访问”,如下图所示)

wKiom1UaTlTTsdwkAAGtDt8Pp_s701.jpg

 

②受到的限制如下

■只允许工作日周一到周五早上9:00到下午17:00之间来连接

■仅限使用MS-CHAP V2身份验证方法

■同时要求客户端必须以加密方式来发送数据

 

10-1.右击“远程访问策略”选择“新建远程访问策略”,如下图所示

wKioL1UaT6SAnWVsAAGvxClOQUU339.jpg

10-2.点击“下一步”,打开“新建远程访问策略向导”,输入策略名“销售部×××策略”,如下图所示

wKiom1UaToKTzhJjAAFJEs-vxQY037.jpg

10-3.点击“下一步”,按照默认选择“×××”连接,如下图所示

wKioL1UaT-fzo8NFAAFzdtR4Cc8640.jpg

10-4.点击“下一步”,点击“添加”添加满足条件的组,如下图所示

wKiom1UaTsLRtEQcAAFDs5pztqM969.jpg

10-5.点击“下一步”,只勾选“MS-CHAPv2”,如下图所示

wKioL1UaUA-BH64eAAHvm0nOYx0467.jpg

10-6.点击“下一步”,三种加密类型都可以勾选上,如下图所示

wKiom1UaTuODLr2yAAF7cj9U0vY202.jpg

10-7.点击“下一步”,最后在点击“完成”,完成远程访问策略的创建

10-8.双击打开新建的“销售部×××策略”,然后点击“编辑配置文件”打开“编辑拨入配置文件”对话框,勾选“仅允许在这些日期和时间访问”,再点击“编辑”打开拨入时段,选择时间段早上9:00到下午17:00,如下图所示

wKioL1UaUHjy6jRjAAIkyChWtBU558.jpg

10-9.最后点击“确定”—“应用”—“确定”,完成拨入时间的控制

10-10.新建的远程访问策略应该在最上方(如果不是请移到最上方),如下图所示

wKiom1UaT1WzobJkAAFfTus44Uc869.jpg

至此radius服务器端设置完毕

 

三:配置×××服务器

1. 首先安装windows server2003 R2 Enterprise x64 Edition

2. 该服务器有两块网卡,内网卡和外网卡的IP地址按照上图设置好

3. 此服务器不需要加入域

4. 以管理员Administrator身份登录,依次选择“开始”—“管理工具”—“路由和远程访问”打开“路由和远程访问”管理器,右击“×××(本地)”选择“配置并启用路由和远程访问”,如下图所示

wKioL1UaUMOy_JfiAA0LOC5o1-w629.bmp

5.在“路由和远程访问服务器安装向导”界面直接点击“下一步”,然后选择“远程访问(拨号或×××)”,如下图所示

wKiom1UaT6DxUEzwAAIloxC26Vw148.jpg

6.点击“下一步”,勾选"×××",如下图所示

wKiom1UaT7DxbW4_AAE2ODE_hqA402.jpg

7.点击“下一步”,选择“外网卡”,如下图所示

wKioL1UaUQDjyi4ZAAG6ZsNh8X8838.jpg

8.点击“下一步”,选择“自动”,如下图所示

wKiom1UaT9qwqn2DAAE42WSf9jk418.jpg

9.点击“下一步”,选择“是,设置此服务器与RADIUS服务器一起工作”,如下图所示

wKioL1UaUTHirU-XAAHnhTx04VQ893.jpg

10. 点击“下一步”,输入RADIUS服务器IP地址,和共享秘钥,如下图所示

wKioL1UaUUWCIjddAAFnpPeMIsY128.jpg

11. 点击“下一步”—“完成”,点击“确定”,正在完成初始化,如下图所示

wKioL1UaUVbiJqsdAAHL3EhNHL4342.jpg

12.下图为完成后的界面

wKioL1UaUXfynUSjAAIYMWWz5j4361.jpg

13.右击“DHCP 中继代理程序”选择“属性”,添加DHCP服务器IP地址,如下图所示,最后点击“应用”完成添加

wKiom1UaUPahB7sWAAD7e6PO12U209.jpg

 

四:客户端连接

连接结果分两种情况


1.如果是非SalesGroup组成员或在非工作时间连接,都会被拒绝连接

2.只有在SalesGroup组里的用户,在工作时间段才被允许连接