如何在 Windows 2008 Server 上安全地启用通过 PPTP 的文件共享

虽然您可以严格使用 RRAS 和 Windows 防火墙来完成您要做的事情，但这将是一个相当复杂的配置，如果配置不正确，将不安全。您可能会发现操作系统补丁也会影响功能。我不知道我是否会非常相信一旦设置好，它是否会在补丁面前继续正常工作。

在我看来，如果您投资硬件防火墙/VPN 设备，将其放置在远程 Web 服务器计算机前面以终止 VPN，那么您将花费更少的时间。如果您能够做到这一点，您最终将得到一个我认为更加强大的解决方案。

我可能没有答案，但也许我有一个可行的模型。我这样做并没有对任何东西进行任何真正的改变，这可能是你能得到的最不安全的。但我曾尝试通过互联网从各种系统访问它，如果没有适当的身份验证，我就无法连接。

我总是被提示输入用户名和密码。系统中的所有用户都设置为普通用户，而不是管理员。我遇到的几个问题总是归因于端口被阻止。访问是通过 //ipaddress/sharedfolder 进行的，其中文件夹必须与访问它的用户共享。到目前为止，这似乎正确地继承了权限，没有人能够获得他们不应该获得的东西。

使用 VPN 的相同设置也有效，但麻烦很多，而且没有提供更多的安全性，因为所有用户都坚持网关在他们的终端打开，以允许他们通过本地 ISP 访问互联网和 Outlook。所以它只是一个>V“半私人”N<

如果有人有更好的设置，我很想知道怎么做。这是一次绝望的尝试，旨在解决升级到 Server 2008 R2 后出现的问题。它的工作方式似乎有点像他们描述的新的 Direct Access，但没有双 NIC 和活动域控制器。我比“新手”还差，所以我只能告诉你，经过一周的“眼睛流血”，我终于让服务器和客户端“交谈”了。但这是用 VPN 实现的。

又经过一周的各种尝试和错误，我终于意识到我甚至没有使用 VPN，但我仍然可以访问。结果是，无需 VPN，从任何地方都可以稳定连接。远程系统一打开就连接到服务器并连接到互联网。

偶尔（大约每两周一次）系统会提示用户输入网络密码，我对此并不介意，因为这可以确保系统仍在所有者手中。从服务器向外看，它们似乎是通过本地网络连接的。

我可以看到他们，他们也可以看到服务器，这正是我想要的。我没有启用“脱机文件”，所以也不是。

客户端都是 Windows 7，服务器是 Server 2008R2 Std。如果其他人有类似的设置，我想知道如何才能使这个设置更好。

在这一点上我同意 Evan 的观点。使用可以充当 VPN 端点的路由器。我喜欢 Drayteks，尽管现在除了入门级路由器之外，其他路由器都可以使用 VPN。使用硬件 VPN 可以使路由变得非常简单。

JR

我使用 Windows Server 内置的所有功能完成了此操作。完全不需要硬件 VPN 或昂贵的第三方软件。我使用 Web 服务器上的单个 NIC 完成了所有操作。

在路由和远程访问中设置 VPN 并连接客户端后，您需要采取两个主要步骤来确保可以访问文件。

首先，允许访问端口 445（文件共享）的防火墙例外应位于公共网络上，但范围应设置为本地子网，或者更好的是，设置为路由和远程访问设置中分配给 VPN 的静态地址范围。连接到 VPN 的客户端将具有这些预定义的地址，因此可以将防火墙例外的范围设置为仅允许这些地址通过。

如果所有流量都通过 VPN 路由，那么这可能就足够了，但是如果您像我一样使用拆分隧道，那么 Internet 流量会正常路由，并且只有针对您的 VPN 的内容会通过隧道，那么您可能还需要确保当您在 Windows 资源管理器中输入域名或 IP 地址以访问文件共享时...该地址的流量实际上是通过 VPN 传输的。我发现，至少在 Windows 7 客户端上，默认情况下路由错误。为了解决这个问题，我不得不删除错误的路由，然后添加正确的路由。为此，打开提升的命令提示符并查看“route print”命令的输出。在那里，您将能够看到接口列表和 IPv4 路由，包括各种网关。如果您的 VPN 服务器（具有文件共享的 Web 服务器）的 IP 地址表示为 [VPN.IP]，其网关表示为 [VPN.GATEWAY]。然后，您只需运行“route delete [VPN.IP]”，然后运行“route add [VPN.IP] mask 255.255.255.255 [VPN.GATEWAY] IF [VPN_INTERFACE_#]”。VPN_INTERFACE_# 可从您在“route print”中看到的接口列表中获取。无论如何，这会将所有以“[VPN.IP]”为目标的流量引导到 VPN 接口上的 VPN 网关。