本次实验环境如下图所示
以上服务器均安装windows server 2003 R2 Enterprise x64 Edition
其中DC和DHCP服务器已经安装配置完毕
一:安装radius服务器
1.首先安装windows server2003 R2 Enterprise x64 Edition
2.IP信息按照上图设置好
3.以管理员Administrator身份登录,把此计算机加入域(加域在此不做演示)
4.以域管理员wjcyf\Administrator身份登录,依次选择“控制面板”—“添加删除程序”——“添加/删除Windows组件”,打开“Windows组件向导”对话框,点击“网络服务”——“详细信息”如下图所示
5.打开网络服务对话框,选中其中的“Internet验证服务”,如下图所示
6.最后点击“确定”—“下一步”完成“Internet验证服务”的安装(安装过程中需要插入安装盘第一张光盘)
二:配置radius服务器
1.依次点击“开始”—“管理工具”—“Internet验证服务”,打开“Internet 验证服务”管理器,如下图所示
2.右键“RADIUS客户端”选择“新建RADIUS客户端(C)”,如下图所示
3.打开“新建RADIUS客户端”对话框,需要填写的信息如下图所示
4.点击“下一步”输入共享机密(***服务器端共享机密要和此处相同)
注:请求必须包括消息验证程序属性:如果双方所采用的验证方法是PAP、CHAP、MS-CHAP、MS-CHAP v2的话,则您可以要求对方发送“消息验证程序属性”,以提高安全(可找出造假来源IP地址的RADIUS客户端)。若验证方法是采用EAP的话,他会自动启用此功能,不需要在此另外设置。
5.最后点击“完成”完成添加,下图为完成后的界面
6.点击“远程访问记录”,右击右方的“本地文件”选择属性,如下图所示
7.打开“本地文件属性”对话框,勾选“记账请求”和“身份验证请求”,最后点击“确定”如下图所示
8.点击“远程访问策略”,可看到右方有两个默认的访问策略
9.双击“到Microsoft路由选择和远程访问服务的连接”策略,可看到其访问权限为“拒绝”,如下图所示
10.新建远程访问策略
①满足以下条件的,才能应用此策略
◆×××连接
◆隶属于域WJCYF内SalesGroup组(请先新建此组,并确认Alice用户在此组内,并且拨入属性为“通过远程访问策略控制访问”,如下图所示)
②受到的限制如下
■只允许工作日周一到周五早上9:00到下午17:00之间来连接
■仅限使用MS-CHAP V2身份验证方法
■同时要求客户端必须以加密方式来发送数据
10-1.右击“远程访问策略”选择“新建远程访问策略”,如下图所示
10-2.点击“下一步”,打开“新建远程访问策略向导”,输入策略名“销售部×××策略”,如下图所示
10-3.点击“下一步”,按照默认选择“×××”连接,如下图所示
10-4.点击“下一步”,点击“添加”添加满足条件的组,如下图所示
10-5.点击“下一步”,只勾选“MS-CHAPv2”,如下图所示
10-6.点击“下一步”,三种加密类型都可以勾选上,如下图所示
10-7.点击“下一步”,最后在点击“完成”,完成远程访问策略的创建
10-8.双击打开新建的“销售部×××策略”,然后点击“编辑配置文件”打开“编辑拨入配置文件”对话框,勾选“仅允许在这些日期和时间访问”,再点击“编辑”打开拨入时段,选择时间段早上9:00到下午17:00,如下图所示
10-9.最后点击“确定”—“应用”—“确定”,完成拨入时间的控制
10-10.新建的远程访问策略应该在最上方(如果不是请移到最上方),如下图所示
至此radius服务器端设置完毕
三:配置×××服务器
1. 首先安装windows server2003 R2 Enterprise x64 Edition
2. 该服务器有两块网卡,内网卡和外网卡的IP地址按照上图设置好
3. 此服务器不需要加入域
4. 以管理员Administrator身份登录,依次选择“开始”—“管理工具”—“路由和远程访问”打开“路由和远程访问”管理器,右击“×××(本地)”选择“配置并启用路由和远程访问”,如下图所示
5.在“路由和远程访问服务器安装向导”界面直接点击“下一步”,然后选择“远程访问(拨号或×××)”,如下图所示
6.点击“下一步”,勾选"×××",如下图所示
7.点击“下一步”,选择“外网卡”,如下图所示
8.点击“下一步”,选择“自动”,如下图所示
9.点击“下一步”,选择“是,设置此服务器与RADIUS服务器一起工作”,如下图所示
10. 点击“下一步”,输入RADIUS服务器IP地址,和共享秘钥,如下图所示
11. 点击“下一步”—“完成”,点击“确定”,正在完成初始化,如下图所示
12.下图为完成后的界面
13.右击“DHCP 中继代理程序”选择“属性”,添加DHCP服务器IP地址,如下图所示,最后点击“应用”完成添加
四:客户端连接
连接结果分两种情况
1.如果是非SalesGroup组成员或在非工作时间连接,都会被拒绝连接
2.只有在SalesGroup组里的用户,在工作时间段才被允许连接
转载于:https://blog.51cto.com/wjcaiyf/1626896