在本练习中，您将对两个 ISAServer 阵列进行配置以创建站点到站点 VPN 连接。
注意：本实验室练习使用以下计算机：Denver - Florence - Berlin - Istanbul
注意：在以下任务中，您将配置 ITALY 阵列以使用站点到站点 VPN 连接来与 GERMANY 阵列相连。此过程包含 6 个步骤，必须按照正确的顺序执行这些步骤。
● 步骤 1 – 使用 ISA Server 控制台配置 VPN 地址范围。
● 步骤 2 – 创建远程站点网络。
● 步骤 3 – 为远程站点网络创建网络规则。
● 步骤 4 – 为远程站点网络创建访问规则。
● 步骤 5 – 启用 VPN 客户端访问。
● 步骤 6 – 创建与远程站点网络同名的用户帐户。
在 Florence 计算机上执行以下步骤。
1. 在 Florence 计算机上，使用 ISA Server控制台配置 VPN 地址范围。
IP 地址范围：
Florence - 10.3.1.1 - 10.3.1.100
Firenze - 10.3.1.101 -10.3.1.200
（步骤 1）
a. 在 Florence 计算机上，在 ISA Server 控制台的左窗格中，
选择“虚拟专用网络(VPN)”。
b. 在任务窗格的“任务”选项卡上，单击“定义地址分配”。
※如果在之前的练习中已经建立了 Florence 和Firenze 的 IP 地址范围，那么可以单击“取消”跳过此任务。
※如果阵列中包含多个 ISA Server，那么首先必须定义每个服务器的静态 IP 地址范围。
c. 在“虚拟专用网络(VPN)属性”对话框的“地址分配”选项卡
上，单击“添加”。
d. 在“服务器 IP 地址范围属性”对话框中，填写以下信息：
● 选择服务器：Florence
● 起始地址：10.3.1.1
● 结束地址：10.3.1.100
然后单击“确定”。
※Florence 上的 VPN IP 地址是地址范围中的第一个IP 地址 (10.3.1.1)。
※注意：站点到站点 VPN 连接只要求每个站点一个 IP地址，不过远程访问 VPN 客户端也使用相同的 IP地址范围。
e. 在“地址分配”选项卡上，单击“添加”。
f. 在“服务器 IP 地址范围属性”对话框中，填写以下信息：
● 选择服务器：Firenze
● 起始地址：10.3.1.101
● 结束地址：10.3.1.200
然后单击“确定”。
g. 单击“确定”以关闭“虚拟专用网络(VPN)属性”对话框。



[ 本帖最后由 garnett_wu 于 2007-8-12 12:04 编辑 ]

2.创建远程站点网络：
名称：Germany Site
VPN 协议：PPTP
连接所有者：Floren
远程 VPN 服务器：39.1.1.8
远程用户帐户：– 名称：Italy Site - 密码：password 4 IP 地址范围：10.2.1.0 - 10.2.1.255
（步骤 2）
a. 在右窗格中，选择“远程站点”选项卡。
b. 在任务窗格的“任务”选项卡上，单击“添加远程站点网络”。
c. 在“新建站点到站点网络向导”对话框中的“网络名称”文本框中，键入 Germany Site，然后单击“下一步”。
※请认真选择网络名称。站点到站点 VPN 连接在“路由和远程访问”中将使用同名的请求拨号接口。这也要求拨入用户帐户使用相同的名称。
d. 在“VPN 协议”页面上，选择“点到点隧道协议(PPTP)”，然后单击“下一步”。
※对于站点到站点 VPN 连接，ISA Server 2004 支持三种不同的 VPN 协议。此时将显示一个警告消息框，提醒您必须创建与网络名称同名的用户帐户。
e. 单击“确定”以关闭警告消息框。
f. 在“连接所有者”页面上的“选择连接所有者”列表框中，选择“Florence”，然后单击“下一步”。
※为避免两个站点之间分别建立两个 VPN 连接，必须选择一个连接所有者。如果启用 NLB 集成，则将自动管理连接所有者，因而不需要此步骤。
g. 在“远程站点网关”页面上的“远程 VPN 服务器名称或 IP地址”文本框中，键入 39.1.1.8，然后单击“下一步”。
※ 39.1.1.8 是 Berlin 的“外部”网络的 IP 地址。
※如果在远程站点上启用 NLB，则必须在此指定 NLB虚拟 IP 地址。
h. 在“远程身份验证”页面上，填写以下信息：
● 本地站点可以发动与远程站点的连接：启用
● 用户名：Italy Site
● 域：（留空）
● 密码：password 4
● 确认密码：password 4
然后单击“下一步”。
※Florence 使用这些凭据来创建与 Berlin 上的“ItalySite”网络的 VPN 连接。本练习稍后将创建“Italy Site”网络。
i. 在“网络地址”页面上，单击“添加范围”。
j. 在“IP 地址范围属性”对话框中，填写以下信息：
● 起始地址：10.2.1.0
● 结束地址：10.2.1.255
然后单击“确定”。
※IP 地址范围与 Berlin 的“内部”网络的 IP 地址匹配。
※注意：在 ISA Server 2004 Enterprise Edition 中，为了轻松地管理 IP 地址范围，您可以为每个办事处定义“企业网络”，并使用它在该对话框中指定地址范围。

k. 在“网络地址”页面上，单击“下一步”。
l. 在“正在完成新建网络向导”页面上，单击“完成”。
※片刻之后，将出现一个警告消息框。由于 Firenze 不可用，ISA Server 控制台无法验证其配置。如果 ISA服务器处于域中，则计算机帐户将添加到“RAS 和IAS 服务器”组中。
m. 单击“确定”以关闭警告消息框。
※此时建立了名为“Germany Site”的新的远程站点。ISAServer 还启用系统策略规则 13（至 ISA Server 的VPN 站点到站点通讯）和系统策略规则 14（来自 ISAServer 的 VPN 站点到站点通讯）。

3.考察“Germany Site”属性。
a. 在右窗格中，右键单击“Germany Site”，然后单击“属性”。
b. 在“Germany Site”对话框中，选择“连接”选项卡。
※您可以指定多长时间以后自动断开不活动的 VPN 连接。默认值为“从不”。
※远程网关 IP 地址为 39.1.1.8。

c. 选择“远程 NLB”选项卡。
※在远程站点上启用 NLB 时，指定 NLB 虚拟 IP 地址作为远程网关 IP 地址。最初的 VPN 连接将连接到此 IP 地址。不过，将从远程站点上某个专用的 IP 地址建立 VPN 隧道。您必须在此选项卡上指定这些专用的 IP 地址。
d. 单击“取消”以关闭“Germany Site 属性”对话框。

4.考察 VPN 访问网络。
a. 在任务窗格的“任务”选项卡上，单击“选择访问网络”。
※注意：即使新的“Germany Site”网络作为现有网络列出，也不要将网络启用为 VPN访问网络。VPN 站点到站点连接将从“外部”网络建立。
b. 单击“取消”以关闭“虚拟专用网络(VPN)属性”对话框。

5.创建新的网络规则
名称：Germany Site访问
源网络： Germany Site
目标网络：内部
关系：路由
（步骤 3）
a. 在左窗格中，选择“网络”。
b. 在右窗格中，选择“网络规则”选项卡。
c. 选择第一个网络规则以指定新的网络规则添加到列表中的
位置。
※注意：本地主机访问网络规则始终位于最前面。新的网络规则将位列其后。
d. 在任务窗格的“任务”选项卡上，单击“创建网络规则”。
e. 在“新建网络规则向导”对话框中的“网络规则名称”文本框中，键入“Germany Site 访问”。
f. 在“网络通讯源”页面上，单击“添加”。
g. 在“添加网络实体”对话框中，
● 依次单击“网络”、“Germany Site”和“添加”，
然后单击“关闭”以关闭“添加网络实体”对话框。

h. 在“网络通讯源”页面上，单击“下一步”。
i. 在“网络通讯目标”页面上，单击“添加”。
j. 在“添加网络实体”对话框中，
● 依次单击“网络”、“内部”和“添加”，
然后单击“关闭”以关闭“添加网络实体”对话框。
k. 在“网络通讯目标”页面上，单击“下一步”。
l. 在“网络关系”页面上，选择“路由”，然后单击“下一步”。
m. 在“正在完成新建网络规则向导”页面上，单击“完成”。
※此时建立了名为“Germany Site 访问”的网络规则。远程站点网络与“内部”网络的关系为“路由”。

6. 创建新的访问规则。
名称：允许站点：Germany 至内部网络
应用于：所有通讯
源网络：Germany Site
目标网络：内部
（步骤 4）
a. 在左窗格中，选择“防火墙策略(ITALY)”。
b. 在右窗格中，选择第一个规则，以指示新规则将添加到规则列表中的位置。
c. 在任务窗格的“任务”选项卡上，单击“创建阵列访问规则”。
d. 在“新建访问规则向导”对话框中的“访问规则名称”文本框中，键入“允许站点：Germany 至内部网络”，然后单击“下一步”。
e. 在“规则操作”页面上，单击“允许”，然后单击“下一步”。
f. 在“协议”页面上的“此规则应用到”列表框中，选择“所有出
站通讯”，然后单击“下一步”。
g. 在“访问规则源”页面上，单击“添加”。
h. 在“添加网络实体”对话框中，
● 依次单击“网络”、“Germany Site”和“添加”，
然后单击“关闭”以关闭“添加网络实体”对话框。
i. 在“访问规则源”页面上，单击“下一步”。
j. 在“访问规则目标”页面上，单击“添加”。
k. 在“添加网络实体”对话框中，
● 依次单击“网络”、“内部”和“添加”，
然后单击“关闭”以关闭“添加网络实体”对话框。
l. 在“访问规则目标”页面上，单击“下一步”。
m. 在“用户集”页面上，单击“下一步”。
n. 在“正在完成新建访问规则向导”页面上，单击“完成”。
※此时建立了一个新的防火墙策略规则，该规则允许从“Germany Site”网络上的客户端到“内部”网络的所有网络通讯。

7.创建另一个访问规则（上一规则的反向）
名称：允许站点：内部网络至 Germany
应用于：所有通讯
源网络：内部
目标网络：Germany Site
a. 在右窗格中，选择第一个规则，以指示新规则将添加到规则列表中的位置。
b. 在任务窗格的“任务”选项卡上，单击“创建阵列访问规则”。
c. 在“新建访问规则向导”对话框中的“访问规则名称”文本框中，键入“允许站点：内部网络至 Germany”，然后单击“下一步”。
d. 在“规则操作”页面上，单击“允许”，然后单击“下一步”。
e. 在“协议”页面上的“此规则应用到”列表框中，选择“所有出站通讯”，然后单击“下一步”。
f. 在“访问规则源”页面上，单击“添加”。
g. 在“添加网络实体”对话框中，
● 依次单击“网络”、“内部”和“添加”，
然后单击“关闭”以关闭“添加网络实体”对话框。
h. 在“访问规则源”页面上，单击“下一步”。
i.在“访问规则目标”页面上，单击“添加”。
j. 在“添加网络实体”对话框中，
● 依次单击“网络”、“Germany Site”和“添加”，
然后单击“关闭”以关闭“添加网络实体”对话框。
k. 在“访问规则目标”页面上，单击“下一步”。
l. 在“用户集”页面上，单击“下一步”。
m.在“正在完成新建访问规则向导”页面上，单击“完成”。
※此时建立了一个新的防火墙策略规则，该规则允许从 “内部”网络上的客户端到“Germany Site”网络的所有网络通讯。

8.启用 VPN 客户端访问。
（步骤 5）
a. 在左窗格中，选择“虚拟专用网络(VPN)”。
b. 在右窗格中，选择“VPN 客户端”选项卡，然后在任务窗格的“任务”选项卡上，单击“启用 VPN 客户端”。
※ISA Server 将远程站点网关视为通用的远程访问客户端。
c. 单击“确定”以确认“路由和远程访问”服务已重新启动。
由于 Firenze 不可用，片刻之后将显示一条警告消息。
d. 单击“确定”以关闭警告消息框。
9. 应用 VPN 配置。
a. 在 ISA Server 控制台中，单击“应用”以应用 VPN 配置，然后单击“确定”。等待，直到 CSS 状态变为“已同步”。
※此步骤将在 ISA Server 上配置和启用 VPN 连接，并配置和启动 ISA Server 计算机上的“路由和远程访问”服务。
等待 30 秒，ISA Server 将配置和启动“路由和远程访问”服务，然后执行下面的任务。
10. 考察“路由和远程访问”控制台的配置。
a. 在“开始”菜单上，单击“管理工具”，然后单击“路由和远程访问”。
b. 展开“FLORENCE（本地）”，然后选择“网络接口”。
※此时 ISA Server 创建了一个名为“Germany Site”的新的请求拨号接口。
c. 在右窗格中，右键单击“Germany Site”，然后单击“属性”。
※请求拨号接口的目标 IP 地址为 39.1.1.8。

d. 选择“选项”选项卡。
※VPN 连接并不是持续型连接。这表明，当“路由和远程访问”服务启动时，连接不会自动启动。但是在使用请求拨号静态路由时，连接将启动。
e. 单击“取消”以关闭“Germany Site 属性”对话框。
f. 在左窗格中，展开“IP 路由”，然后选择“静态路由”。
※ISA Server 为“Germany Site”网络上的所有 IP 地址 (10.2.1.1 - 10.2.1.255) 配置了请求拨号静态路由。
g. 在右窗格中，右键单击任意请求拨号静态路由，然后单击 “属性”。
※请注意，此路由中的任意目标地址均可发动与“Germany Site”网络的请求拨号连接。
h. 单击“取消”以关闭“静态路由”对话框。
i. 关闭“路由和远程访问”控制台。
11. 创建新的用户帐户：
名称：Germany Site
密码：password 5
拨入：允许访问
（步骤 6）
a. 在“开始”菜单上，单击“管理工具”，然后单击“计算机管
理”。
b. 在“计算机管理”控制台的左窗格中，展开“本地用户和组”，
然后选择“用户”。
c. 右键单击“用户”，然后选择“新建用户”。
d. 在“新建用户”对话框中，填写以下信息：
●用户名：Germany Site
● 密码：password 5
● 确认密码：password 5
● 用户下次登录时须更改密码：禁用
● 密码永不过期：启用
然后单击“创建”。
※此时建立了名为“Germany Site”的新的用户帐户。
e. 单击“关闭”以关闭“新建用户”对话框。
f. 在右窗格中，右键单击“Germany Site”，然后单击“属性”。
g. 在“Germany Site 属性”对话框中的“拨入”选项卡上，选择“允许访问”，然后单击“确定”。
h. 关闭“计算机管理”控制台。
※ Berlin 使用“Germany Site”用户帐户创建与 Florence的 VPN 连接。拨入凭据和请求拨号接口采用相同的名称可以确保“路由和远程访问”不会试图分别使用两个独立的 VPN 连接传入和传出网络通讯。
※ 注意：如果必要，您还必须在 Firenze 上创建相同的用户帐户，以便 Firenze 也可以作为 VPN 连接所有者。

在 Florence 计算机上执行以下步骤。
1. 在 Florence 计算机上，在“路由和远程访问”控制台中，手动连接 Germany Site 请求拨号接口。
a. 在 Florence 计算机上，单击“开始”菜单中的“管理工具”，然后单击“路由和远程访问”。
b. 在“路由和远程访问”控制台的左窗格中，展开“FLORENCE本地）”，然后选择“网络接口”。
c. 在右窗格中，右键单击“Germany Site”，然后单击“连接”。
※如果至 Berlin (39.1.1.8) 的站点到站点 VPN 连接设置正确，则请求拨号接口将成功连接。“连接状态”列中的状态将更改为“已连接”。
D、关闭“路由和远程访问”控制台。

2. 使用 ipconfig 命令考察当前的 IP 地址。
a. 打开一个命令提示符窗口。
b. 在命令提示符下，键入 ipconfig，然后按 Enter 键。
※请注意，Germany Site 接口已收到来自 Berlin 的 IP地址 10.4.1.2（或更高）。
c. 关闭命令提示符窗口。

在 Berlin 计算机上执行以下步骤。

3. 在 Berlin 计算机上，在“路由和远程访问”控制台中，手动中断连接、连接和中断连接Italy Site 请求拨号接口。
a. 在 Berlin 计算机上，依次单击“开始”菜单、“管理工具”，然后单击“路由和远程访问”。
b. 在“路由和远程访问”控制台的左窗格中，展开“Berlin（本）”，然后选择“网络接口”。
※请注意，同时也连接了 Italy Site 接口。站点到站点VPN 连接是两个 ISA Server 阵列之间的单个 VPN隧道。
c. 在右窗格中，右键单击“Italy Site”，然后单击“断开”。片刻之后，“连接状态”列中的状态将更改为“已中断连接”。这表明 Germany Site 请求拨号接口也已中断连接。
d. 右键单击“Italy Site”，然后单击“连接”。
※状态将再次更改为“已连接”。
※这一结果确认了两个站点都可以发动 VPN 连接。
e. 右键单击“Italy Site”，然后单击“中断连接”。
※状态将再次更改为“已中断连接”。
f. 关闭“路由和远程访问”控制台。
在 Istanbul 计算机上执行以下步骤。
4. 在 Istanbul 计算机上，更改 IP 配置：
IP 地址：10.2.1.7 子网：255.255.255.0 默认网关： 10.2.1.8
a. 在 Istanbul 计算机上，依次单击“开始”菜单、“控制面板”、“网络连接”，右键单击“本地连接”，然后单击“属性”。
b. 在“本地连接属性”对话框中，选择“Internet 协议(TCP/IP)”（不要清除复选框），然后单击“属性”。
c. 在“Internet 协议(TCP/IP)属性”对话框中，填写以下信息：
● IP 地址：10.2.1.7
● 子网掩码：255.255.255.0
● 默认网关：10.2.1.8
然后单击“确定”。
d. 单击“关闭”以关闭“本地连接属性”对话框。
※IP 地址更改之后，Istanbul 位于 GERMANY 阵列的 “内部”网络上。默认网关设置为 Berlin (10.2.1.8)。

5. 使用 ping -t 10.1.1.5命令启动站点到站点VPN 连接。
a. 打开一个命令提示符窗口。
b. 在命令提示符下，键入 ping -t 10.1.1.5，然后按 Enter键。
※ 前面向 Denver (10.1.1.5) 发出的 ping 请求超时，此时站点到站点 VPN 隧道正在连接。VPN 隧道连接好之后，将收到来自 Denver 的回复。
c. 不要停止 ping 命令。
6. 使用“运行”对话框连接到 [url=file://\\10.1.1.5]\\10.1.1.5[/url]。
a. 在“开始”菜单上，单击“运行”。
b. 在“运行”对话框中，键入 [url=file://\\10.1.1.5]\\10.1.1.5[/url]，然后单击“确定”。
※ 此时打开一个 Windows 资源管理器显示 [url=file://\\10.1.1.5]\\10.1.1.5[/url]。该窗口显示 ISA Server 允许多个网络协议通过站点到站点 VPN 隧道。
c. 关闭 [url=file://\\10.1.1.5]\\10.1.1.5[/url] 窗口。

在 Denver 计算机上执行以下步骤。

7. 在 Denver 计算机上，使用 ping -t 10.2.1.7命令测试 VPN 连接。
a. 在 Denver 计算机上，打开命令提示符窗口。
b. 在命令提示符下，键入 ping -t 10.2.1.7，然后按 Enter键。
※该命令的输出显示来自 10.2.1.7 (Istanbul) 的持续不断的回复。
c. 按 Ctrl-C 中断 ping 命令。
d. 关闭命令提示符窗口。

在 Berlin 计算机上执行以下步骤。

8. 在 Berlin 计算机上，考察当前的 ISAServer 会话。
a. 在 Berlin 计算机上，在 ISA Server 控制台的左窗格中，选择“监视”。
b. 在右窗格中，选择“会话”。
注意以下会话：
● 来自“Italy Site”网络的 VPN 远程站点会话
● 来自“内部”网络的 SecureNAT 会话 (10.2.1.7)
● 来自“Italy Site”网络的 SecureNAT session (10.1.1.5)

在本练习中，您将对两个 ISAServer 阵列进行配置以创建站点到站点 VPN 连接。
注意：本实验室练习使用以下计算机：Denver - Florence - Berlin - Istanbul
注意：在以下任务中，您将配置 GERMANY 阵列以使用站点到站点 VPN 连接来与 ITALY 阵
列相连。该过程也包括与刚才对 ITALY 阵列所执行操作完全相同的 6 个步骤。
● 步骤 1 – 使用 ISA Server 控制台配置 VPN 地址范围。
● 步骤 2 – 创建远程站点网络。
● 步骤 3 – 为远程站点网络创建网络规则。
● 步骤 4 – 为远程站点网络创建访问规则。
● 步骤 5 – 启用 VPN 客户端访问。
● 步骤 6 – 创建与远程站点网络同名的用户帐户。
12. 在 Berlin 计算机上使用 ISA Server 控制台配置 VPN 地址范围。
IP 地址范围： Berlin- 10.4.1.1 - 10.4.1.100
（步骤 1）
a. 在 Berlin 计算机上，依次单击“开始”菜单、“所有程序”、
“Microsoft ISA Server”，然后单击“ISA Server 管理”。
此时将打开 ISA Server 控制台。
b. 在 ISA Server 控制台的左窗格中，依次展开“阵列”、
“GERMANY”，然后选择“虚拟专用网络(VPN)”。
c. 在任务窗格的“任务”选项卡上，单击“定义地址分配”。
d. 在“虚拟专用网络(VPN)属性”对话框中的“地址分配”选项
卡上，确保选择“静态地址池”，然后单击“添加”。
e. 在“服务器 IP 地址范围属性”对话框中，填写以下信息：
● 选择服务器：Berlin
● 起始地址：10.4.1.1
● 结束地址：10.4.1.100
然后单击“确定”。
Berlin 上的 VPN IP 地址是地址范围中的第一个 IP
地址 (10.4.1.1)。
f. 单击“确定”以关闭“虚拟专用网络(VPN)属性”对话框。

13. 创建远程站点网络：
名称：Italy Site
VPN 协议：PPTP
连接所有者：Berlin
远程 VPN 服务器： 39.1.1.1
远程用户帐户 - 名称：Germany Site - 密码：password 5 IP 地址范围：10.1.1.0 - 10.1.1.255
（步骤 2）
a. 在右窗格中，选择“远程站点”选项卡。
b. 在任务窗格的“任务”选项卡上，单击“添加远程站点网络”。
c. 在“新建站点到站点网络向导”对话框中的“网络名称”文本框中，键入 Italy Site，然后单击“下一步”。
※本练习稍后将创建名为“Italy Site”的用户帐户。
d. 在“VPN 协议”页面上，选择“点到点隧道协议(PPTP)”，然后单击“下一步”。
e. 单击“确定”以关闭警告消息框。
f. 在“连接所有者”页面上的“选择连接所有者”列表框中，选择“Berlin”，然后单击“下一步”。
g. 在“远程站点网关”页面上的“远程 VPN 服务器名称或 IP址”文本框中，键入 39.1.1.1，然后单击“下一步”。
※39.1.1.1 是 Florence 的“外部”网络的 IP 地址。
h. 在“远程身份验证”页面上，填写以下信息：
● 本地站点可以发动与远程站点的连接：启用
● 用户名：Germany Site
● 域：（留空）
● 密码：password 5
● 确认密码：password 5
然后单击“下一步”。
※Berlin 使用这些凭据来创建与 Florence 上的“Germany Site”网络的 VPN 连接。
i.在“网络地址”页面上，单击“添加范围”。
j. 在“IP 地址范围属性”对话框中，填写以下信息：
● 起始地址：10.1.1.0
● 结束地址：10.1.1.255
然后单击“确定”。
※IP 地址范围与 Florence 的“内部”网络的 IP 地址匹配。
k. 在“网络地址”页面上，单击“下一步”。
l. 在“正在完成新建网络向导”页面上，单击“完成”。
※此时建立了名为“Italy Site”的新的远程站点。ISAServer 还启用系统策略规则 13（至 ISA Server 的VPN 站点到站点通讯）和系统策略规则 14（来自 ISAServer 的 VPN 站点到站点通讯）。

14. 创建新的网络规则。
名称：Italy Site 访问
源网络： Italy Site
目标网络：内部
关系：路由
（步骤 3）
a. 在左窗格中，展开“配置”，然后选择“网络”。
b. 在右窗格中，选择“网络规则”选项卡。
c. 选择第一个网络规则以指定新的网络规则添加到列表中的位置。
d. 在任务窗格的“任务”选项卡上，单击“创建网络规则”。
e. 在“新建网络规则向导”对话框中的“网络规则名称”文本框中，键入“Italy Site 访问”。
f. 在“网络通讯源”页面上，单击“添加”。
g. 在“添加网络实体”对话框中，
● 依次单击“网络”、“Italy Site”和“添加”，
然后单击“关闭”以关闭“添加网络实体”对话框。
h. 在“网络通讯源”页面上，单击“下一步”。
i. 在“网络通讯目标”页面上，单击“添加”。
j. 在“添加网络实体”对话框中，
● 依次单击“网络”、“内部”和“添加”，
然后单击“关闭”以关闭“添加网络实体”对话框。
k. 在“网络通讯目标”页面上，单击“下一步”。
l. 在“网络关系”页面上，选择“路由”，然后单击“下一步”。
m. 在“正在完成新建网络规则向导”页面上，单击“完成”。
※此时建立了名为“Italy Site 访问”的网络规则。远程站点网络与“内部”网络的关系为“路由”。

15. 创建新的访问规则。
名称：允许站点：Italy 至内部网络
应用于：所有通讯
源网络： Italy Site
目标网络：内部
（步骤 4）
a. 在左窗格中，选择“防火墙策略(GERMANY)”。
b. 在右窗格中，选择第一条规则（如果未定义其他规则，则选择“默认规则”），以指明新规则要添加到规则列表中的位置。
c. 在任务窗格的“任务”选项卡上，单击“创建阵列访问规则”。
d. 在“新建访问规则向导”对话框中的“访问规则名称”文本框中，键入“允许站点：Italy 至内部网络”，然后单击“下一步”。
e. 在“规则操作”页面上，单击“允许”，然后单击“下一步”。
f. 在“协议”页面上的“此规则应用到”列表框中，选择“所有出站通讯”，然后单击“下一步”。
g. 在“访问规则源”页面上，单击“添加”。
h. 在“添加网络实体”对话框中，
● 依次单击“网络”、“Italy Site”和“添加”，
然后单击“关闭”以关闭“添加网络实体”对话框。
i. 在“访问规则源”页面上，单击“下一步”。
j. 在“访问规则目标”页面上，单击“添加”。
k. 在“添加网络实体”对话框中，
● 依次单击“网络”、“内部”和“添加”，
然后单击“关闭”以关闭“添加网络实体”对话框。
l. 在“访问规则目标”页面上，单击“下一步”。
m. 在“用户集”页面上，单击“下一步”。
n. 在“正在完成新建访问规则向导”页面上，单击“完成”。
※此时建立了一个新的防火墙策略规则，该规则允许从“Italy Site”网络上的客户端到“内部”网络的所有网络通讯。

16. 创建另一个访问规则（上一规则的反向）
名称：允许站点：内部网络至 Italy
应用于：所有通讯
源网络：内部
目标网络：Italy Site
a. 在右窗格中，选择第一个规则，以指示新规则将添加到规则列表中的位置。
b. 在任务窗格的“任务”选项卡上，单击“创建阵列访问规则”。
c. 在“新建访问规则向导”对话框中的“访问规则名称”文本框中，键入“允许站点：内部网络至 Italy”，然后单击“下一步”。
d. 在“规则操作”页面上，单击“允许”，然后单击“下一步”。
e. 在“协议”页面上的“此规则应用到”列表框中，选择“所有出站通讯”，然后单击“下一步”。
f. 在“访问规则源”页面上，单击“添加”。
g. 在“添加网络实体”对话框中，
● 依次单击“网络”、“内部”和“添加”，
然后单击“关闭”以关闭“添加网络实体”对话框。
h. 在“访问规则源”页面上，单击“下一步”。
i. 在“访问规则目标”页面上，单击“添加”。
j. 在“添加网络实体”对话框中，
● 依次单击“网络”、“Italy Site”和“添加”，
然后单击“关闭”以关闭“添加网络实体”对话框。
k. 在“访问规则目标”页面上，单击“下一步”。
l.在“用户集”页面上，单击“下一步”。
m. 在“正在完成新建访问规则向导”页面上，单击“完成”。
※此时建立了一个新的防火墙策略规则，该规则允许从 “内部”网络上的客户端到“Italy Site”网络的所有网络通讯。

17. 启用 VPN 客户端访问。
（步骤 5）
a. 在左窗格中，选择“虚拟专用网络(VPN)”。
b. 在右窗格中，选择“VPN 客户端”选项卡，然后在任务窗格的“任务”选项卡上，单击“启用 VPN 客户端访问”。
c. 单击“确定”以确认“路由和远程访问”服务已重新启动。
18. 启动“阵列状态监视器”。
文件：C:\Tools\Status\ArrayStatus.hta
a. 使用 Windows 资源管理器（或“我的电脑”）打开C:\Tools\Status 文件夹。
b. 在 Status 文件夹中，右键单击 ArrayStatus.hta，然后单击“打开”。
c. 关闭 Status 文件夹。
19. 应用 VPN 配置。
a. 在 ISA Server 控制台中，单击“应用”以应用 VPN 配置，然后单击“确定”。等待，直到 CSS 状态变为“已同步”。
※此步骤将在 ISA Server 上配置和启用 VPN 连接，并配置和启动 ISA Server 计算机上的“路由和远程访问”服务。
20. 创建新的用户帐户：
名称：Italy Site
密码：password 4
拨入：允许访问
（步骤 6）
a. 在“开始”菜单上，单击“管理工具”，然后单击“计算机管理”。
b. 在“计算机管理”控制台的左窗格中，展开“本地用户和组”，然后选择“用户”。
c. 右键单击“用户”，然后单击“新建用户”。
d. 在“新建用户”对话框中，填写以下信息：
●用户名：Italy Site
● 密码：password 4
● 确认密码：password 4
● 用户下次登录时须更改密码：禁用
● 密码永不过期：启用
然后单击“创建”。
此时建立了名为“Italy Site”的新的用户帐户。
e. 单击“关闭”以关闭“新建用户”对话框。
f. 在右窗格中，右键单击“Italy Site”，然后单击“属性”。
g. 在“Italy Site 属性”对话框中的“拨入”选项卡上，选择“允许访问”，然后单击“确定”。
h. 关闭“计算机管理”控制台。
※Florence 使用“Italy Site”用户帐户创建与 Berlin 的VPN 连接。