第一步：系统前期准备工作 　　服务器硬件：双网卡，一块接外网，一块接局域网。在windows2003中VPN服务称之为“路由和远程访问”，默认状态已经安装。只需对此服务进行必要的配置使其生效即可。
　　首先确定是否开启了Windows Firewall/Internet Connection Sharing (ICS)服务，如果开启了Windows Firewall/Internet Connection Sharing (ICS)服务的话，在配置“路由和远程访问”时系统会弹出如下对话框。
　　

　　我们只要去“开始”-“程序”-“管理工具”-“服务”里面把Windows Firewall/Internet Connection Sharing (ICS)停止，并设置启动类型为禁用，如下图所示：
　　

第二步：开启VPN和NAT服务
　　然后再依次选择“开始”-“程序”-“管理工具”-“路由和远程访问”，打开“路由和远程访问”服务窗口;再在窗口左边右击本地计算机名，选择“配置并启用路由和远程访问”，如下图所示：
　　

　　在弹出的“路由和远程访问服务器安装向导”中点下一步，出现如下对话框。
　　

　　由于我们要实现NAT共享上网和VPN拨入服务器的功能，所以我们选择“自定义配置”选项，点下一步;
　　

在这里我们选择“VPN访问”和“NAT和基本防火墙”选项，点下一步，在弹出的对话框中点“完成”，系统会提示是否启动服务，点“是”，系统会按刚才的配置启动路由和远程访问服务，最后如下图所示;

　　

第三步：配置NAT服务
　　右击“NAT/基本防火墙”选项，选择“新增接口”，弹出如下对话框;
　　

　　在这里我们根据自己的网络环境选择连接Internet的接口，选择“wan”接口，点“确定”，弹出“网络地址转换-wan属性”对话框，进行如下图所示配置;
　　

　　由于我们这个网卡是连接外网的所以选择“公用接口连接到Internet”和“在此接口上启用NAT”选项并选择“在此接口上启用基本防火墙”选项，这对服务器的安全是非常重要的。
　　下面我们点“服务和端口”设置服务器允许对外提供PPTP VPN服务，在“服务和端口”界面里点“VPN网关(PPTP)”，在弹出的“编辑服务”对话框中进行如下图设置;
　　

点“确定”，回到“服务和端口”选项卡，确保选中“VPN网关(PPTP)”，如下图;

　　

　第四步：根据需要设置VPN服务
　　设置连接数：右击右边树形目录里的端口选项，选择属性，弹出如下对话框;
　　

　　Windows Server 2003 企业版VPN服务默认支持128个PPTP连接和128个L2TP连接，因为我们这里使用PPTP协议，所以我们双击“WAN微型端口(PPTP)选项，在弹出的对话框里根据自己的需要设置所需的连接数;Windows Server 2003企业版最多支持30000个L2TP端口，16384个PPTP端口。
　　设置IP地址：右击右边树形目录里的本地服务器名，选择“属性”并切换到IP选项卡(如下图所示)。
　　

　　这里我们选择“静态地址池”点“添加”，根据需要接入数量任意添加一个地址范围，但是不要和本地IP地址冲突，如下图所示;
　　

　　点“确定”回到“IP”选项卡，点“确定”应用设置;
　　第五步：设置远程访问策略，允许指定用户拨入
　　新建用户和组：点“开始”-“程序”-“管理工具”-“计算机管理”，弹出“计算机管理”对话框，如下图;
　　

选择“本地用户和组”，右击“用户”-“新用户”进行如下图所示设置;

　　

　　点击“创建”新增一个用户;
　　在右边的树形目录中右击“组”-“新建组”，添入“组名”，点“添加”在弹出的“选择用户”对话框中，点“高级”-“立即查找”，选择刚才建立的“TEST”用户，把用户加入刚才建立的组，如下图;
　　

　　设置远程访问策略：在“路由和远程访问”窗口，右击右面树形目录中的“远程访问策略”，选择“新建远程访问策略”，在弹出的对话框中点“下一步”，填入方便记忆的“策略名”，点“下一步”，选择“VPN”选项，点“下一步”，点“添加”把刚才新建的组加入到这里，点“下一步”， “下一步”， “下一步”，“完成”，就完成了远程策略的设置，后面如果需要新的用户需要VPN服务，只要为该用户新建一个帐号，并加入刚才新建的“TEST”组就可以了。
　　第六步：设置动态域名
　　我们把动态域名放在这里来说。因为一般企业接入互联网应该有固定IP，这样客户机便可随时随地对服务端进行访问;而如果你是家庭用户采用的 ADSL宽带接入的话，那一般都是每次上网地址都不一样的动态IP，所以需在VPN服务器上安装动态域名解析软件，才能让客户端在网络中找到服务端并随时可以拨入。笔者常用的动态域名解析软件为：花生壳，可以在www.oray.net下载，其安装及注意事项请参阅相关资料，这里不再详述
　　六、VPN客户端配置
　　这一端配置相对简单得多，只需建立一个到VPN服务端的专用连接即可。首先肯定客户端也要接入internet网络，接着笔者同样以windows 2003客户端为例说明，其它的win2K操作系统设置都大同小异：
　　第一步：在桌面“网上邻居”图标点右键选属性，之后双击“新建连接向导”打开向导窗口后点下一步;接着在“网络连接类型”窗口里点选第二项“连接到我的工作场所的网络”，继续下一步，在如下图所示网络连接方式窗口里选择第二项“虚拟专用网络连接”;接着为此连接命名后点下一步。
　　

第二步：在“VPN服务器选择”窗口里，等待我们输入的是VPN服务端的固定内容，可以是固定IP，也可以是由花生壳软件解析出来的动态域名(此域名需要在提供花生壳软件的www.oray.net网站下载);接着出现的“可用连接”窗口保持“只是我使用”的默认选项;最后，为方便操作，可以勾选“在桌面上建立快捷方式”选项，单击完成即会先出现如下图所示的VPN连接窗口。输入访问VPN服务端合法帐户后的操作就跟XP下“远程桌面”功能一样了。连接成功后在右下角状态栏会有图标显示。

　　

　　第三步：连接后的共享操作，只要有过一些局域网使用经验的朋友应该知道怎么做了吧?一种办法是通过“网上邻居”查找VPN服务端共享目录;另一种办法是在浏览器里输入VPN服务端固定IP地址或动态域名也可打开共享目录资源。这其实已经跟在同一个局域网内的操作没什么区别了，自然也就可以直接点击某个视频节目播放，省去下载文件这一步所花时间了。
　　七、总结
　　到这里我们已经实现了用一台Windows Server 2003操作系统做一台NAT和VPN远程接入服务器，实现公司或家庭共享上网和VPN远程接入访问本地局域网，实现移动办公。但是这台服务器在安全性和功能上还有一定缺陷，我将在后面的文章中陆续介绍搭建基于L2TP OVER IPSEC的VPN服务器，以增强数据在网络传输中的安全性。介绍搭建基于Microsoft Internet Security and Acceleration (ISA) Server 2006防火墙的远程接入服务器，介绍基于Microsoft Internet Security and Acceleration (ISA) Server 2006的站点到站点的虚拟专用网络。