远程 VPN 客户端访问

通过使用 ISA Server 2004 进行本地 Internet 连接，即使天各一方，您也可以使工场的各部门从世界上的任意位置连接到内部网络。例如，您的办公室位于纽约市，而您的销售人员却在芝加哥工作。您希望销售人员本地连接到 Internet，并使用 VPN 连接来访问内部网络，而不是给纽约市打电话并直接连接到您的内部网络（使用路由和远程访问）。这就是远程访问 VPN 方案。

采用 ISA 服务器，您可以使用点到点隧道协议 (PPTP) 或第 2 层隧道协议 (L2TP) 来实施远程客户端访问解决方案。有关隧道协议的更多信息，请参阅 VPN 隧道协议。

例如，考虑如下图所示的用于漫游 VPN 客户端的典型网络拓扑。此图片显示了三个网络：

VPN 客户端所在的 Internet。
VPN 网关，这是 ISA 服务器计算机。
内部网络，其中可包含用于动态 IP 地址分配的 DHCP 服务器和（可选，如果配置的是 L2TP 隧道协议）证书颁发机构。

远程客户端访问

VPN 客户端

连接到 ISA 服务器的远程 VPN 客户端可以是运行 Microsoft® Windows Server™ 2003、Windows® XP、Windows 2000、Windows NT® 4.0、Windows 98、Windows 95 或 Windows Millennium Edition 的计算机。客户端必须能够通过 Internet 向远程访问服务器发送 TCP/IP 数据包。因此，需要使用带有模拟电话线的网络适配器或调制解调器或其他 WAN Internet 连接。有关详细信息，请参阅 VPN 客户端计算机。

启用远程 VPN 客户端访问

要使远程 VPN 客户端能够访问由 ISA 服务器保护的网络，必须执行以下步骤：

标识并配置被允许作为远程 VPN 客户端连接到 ISA 服务器的用户帐户。可以将用户标识为 RADIUS 用户或 Windows 用户。详细信息，请参阅远程 VPN 客户端访问的用户。
在 ISA 服务器计算机上启用 VPN 客户端访问。有关说明，请参阅 VPN 客户端和防火墙策略。
选择在连接到 ISA 服务器时要使用哪个 VPN 隧道协议：PPTP 或 L2TP。有关详细信息，请参阅 VPN 隧道协议。
还可以选择启用“隔离控制”。您可能要隔离所连接的每个 VPN 客户端，以确保其符合安全策略。系统将允许不符合策略的 VPN 客户端连接到内部网络上的资源，这些客户端可以从此位置检索软件或所需的更新，以便符合要求，但是它们不能对公司资源进行全面访问。详细信息，请参阅 VPN 与隔离。

注意

某些属性既可以在“路由和远程访问”中配置，也可以在 ISA 服务器中配置。在这种情况下，要确保只在 ISA 服务器中配置这些属性。“路由和远程访问”中唯一的属性可以使用“路由和远程访问”配置。有关详细信息，请参阅 ISA 服务器与路由和远程访问的互操作性。

请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。