第16章 实现远程访问服务.docx
- 文档编号:7129860
- 上传时间:2023-01-21
- 格式:DOCX
- 页数:41
- 大小:1.03MB
第16章 实现远程访问服务.docx
《第16章 实现远程访问服务.docx》由会员分享,可在线阅读,更多相关《第16章 实现远程访问服务.docx(41页珍藏版)》请在冰豆网上搜索。
第16章实现远程访问服务
第16章实现远程访问服务
当公司的业务代表或经理出外洽谈生意的时候,如果需要一份重要文件,只能让公司内部的工作人员通过Email或传真发过来,但如果是在晚上,或周末,公司放假,没有人能够迅速反应,可能就要耽误一大比生意。
现在有了WindowsServer2003的远程访问服务,一切问题就迎刃而解了。
WindowsServer2003的远程服务可以实现公司员工即使在外地出差,也可以通过电话或Internet拨号连接到公司的服务器上,读取所需要的信息,这样就可以保证7×24小时的信息快捷与有效性。
16.1远程访问概述
远程访问服务(RemoteAccessService,RAS)理解起来并不困难,我们通过例子来进行解释:
我们上网需要拨号,当我们通过电话线拨号到163或263等ISP时,那就是远程访问,而你的ISP即为你提供了远程访问服务。
所以远程访问是指,客户端利用某种广域网技术,通过某种远程连接方式(如Modem+电话线)登录到公司本地局域网中。
远程访问服务主要应用在为那些没有条件与本地网络直接相连的用户提供接入服务。
通过将“路由和远程访问”配置为远程访问服务器,可以将远程或移动工作人员连接到组织网络上。
远程用户可以像计算机物理地连接到网络上一样工作。
用户运行远程访问软件,并初始化到远程访问服务器上的连接。
远程访问服务器,即运行“路由和远程访问”的服务器,会始终验证用户和服务会话,直到用户或网络管理员将其终止为止。
那些在一般情况下适用于LAN连接用户的所有服务(包括文件和打印共享、Web服务器访问和消息)均通过远程访问连接启用。
远程访问客户端使用标准工具来访问资源。
例如,在运行“路由和远程访问”的服务器上,客户端可以使用Windows资源管理器来进行驱动器连接,并连接到打印机上。
连接是持久的:
在远程会话期间,用户不需要重新连接到网络资源上。
因为对于驱动器标识字母和通用命名约定(UNC)所命名的名字,远程访问都支持,所以大多数商业和自定义应用程序不许要修改就可以使用。
16.1.1远程访问连接类型
运行“路由和远程访问”的服务器可以提供两个不同类型的远程访问连接。
拨号网络
通过使用远程通信提供商(例如模拟电话、ISDN或X.25)提供的服务,远程客户端使用非永久的拨号连接到远程访问服务器的物理端口上,这时使用的网络就是拨号网络。
拨号网络的最佳范例是拨号网络客户端使用拨号网络拨打远程访问服务器某个端口的电话号码。
模拟电话线上或ISDN的拨号网络,是拨号网络客户端和拨号网络服务器之间的直接的物理连接。
可以加密通过该连接发送的数据,但并不要求一定这样做。
虚拟专用网
虚拟专用网是穿越专用网络或公用网络(如Internet)的、安全的、点对点连接的产物。
虚拟专用网客户端使用特定的,称为隧道协议的基于TCP/IP的协议,来对虚拟专用网服务器的虚拟端口进行依次虚拟呼叫。
虚拟专用网的最佳范例是,虚拟网络客户端使用虚拟专用网连接连接到与Internet相连的远程访问服务器上。
远程访问服务器应答虚拟呼叫,验证呼叫方身份,并在虚拟专用网客户端和企业网络之间传送数据。
与拨号网络相比,虚拟专用网始终是通过公用网络(如Internet)在虚拟专用网客户端和虚拟专用网服务器之间的一种逻辑的、非直接的连接。
要保证隐私权,必须加密在连接上传送的数据。
16.1.2常用名称解释:
设备
设备是提供远程访问连接可以用于建立点对点连接的端口的硬件或软件。
设备可以是物理的,例如调制解调器;也可以是虚拟的,例如虚拟专用网(VPN)协议。
设备可以支持单个端口,例如一个调制解调器;也可以多个端口,例如可端接64个不同的接入模拟电话呼叫的调制解调器堆硬件。
“点对点隧道协议(PPP)”和“第二层隧道协议(L2TP)”是虚拟多端口设备的示例。
每个隧道协议都支持多个VPN连接。
端口
端口是可以支持单个的点对点连接的设备的信道。
对于单一端口设备(如调制解调器),设备与端口不可区分。
对于多端口设备,端口只是设备的一部分,通过它可以建立一个单独的点对点连接。
例如,主速率接口(PRI)ISDN适配器支持两个称作B通道的独立通道。
ISDN适配器是一种设备。
每个B通道都是一个端口,因为通过每个B通道都可以建立点对点连接。
16.2作为拨号网络服务器的远程访问
服务器“路由和远程访问”提供了传统的拨号远程访问,以支持移动用户或家庭用户拨入到企业Intranet。
安装在运行“路由和远程访问”服务器上的拨号设备会应答传入的来自拨号网络客户端的连接请求。
远程访问服务器应答呼叫、身份验证并授权呼叫方,以及在拨号网络客户端和企业Intranet之间传送数据。
图16-1拨号远程访问
16.2.1拨号网络组件
拨号网络包括下列组件:
图16-2拨号网络组件
拨号网络服务器
可以配置运行“路由和远程访问”的服务器以提供对整个网络的拨号网络访问,或者限制只能对远程访问服务器上的共享资源的访问。
对于拨号网络访问,服务器必须有至少一个调制解调器或一个多端口适配器,以及模拟电话线或其他WAN连接。
如果服务器提供对网络的访问,则必须安装一个单独的网卡,并将它连接到服务器提供访问的网络上。
拨号网络客户端
运行WindowsServer2003家族、WindowsXP、Windows2000、运行“远程访问(RAS)”或“路由和远程访问(RRAS)”服务的WindowsNT、WindowsMillenniumEdition、Windows98、Windows95或MacOS的远程访问客户端都可以连接到运行“路由和远程访问”的服务器上。
拨号网络客户端连接到运行“路由和远程访问”的服务器的拨号客户端可以是任何PPP客户端。
客户端必须安装有调制解调器、模拟电话线,或其他WAN连接,和远程访问软件。
LAN和远程访问协议
应用程序使用LAN协议传递消息。
远程访问协议用于协商连接,并为通过广域网(WAN)链接发送的LAN协议数据提供组帧。
“路由和远程访问”支持LAN协议,如TCP/IP和AppleTalk,这些协议用于访问Internet、UNIX、MacOS及NovellNetWare资源。
“路由和远程访问”支持远程访问协议,如PPP。
WAN选项
客户端可以使用标准电话线和一个调制解调器或调制解调器池来拨入。
使用ISDN可以建立更快速的链接。
使用X.25或ATM也可以将远程访问客户端连接到远程访问服务器上。
通过RS-232C零调制解调器电缆、并行端口连接、或红外连接,也可以建立直接连接。
安全选项
WindowsServer2003家族提供了登录和域安全,并对拨号客户端的安全网络访问提供了安全主机、数据加密、远程身份验证拨入用户服务(RADIUS)、智能卡、远程访问帐户锁定、远程访问策略和回拨等支持。
16.2.2案例:
配置拨号访问服务器
启动远程访问服务
1.单击“开始”→“程序”→“管理工具”→“路由和远程访问”,打开“路由和远程访问”界面,在服务器上单击鼠标右键,在弹出菜单是上选择“配置并启动路由和远程访问”,如图16-3。
图16-3路由和远程访问
2.弹出“路由和远程访问服务器安装向导”界面,如图16-4,单击“下一步”。
图16-4路由和远程访问服务器安装向导
3.在弹出的界面中选择“远程访问(拨号或VPN)”如图16-5,然后单击“下一步”。
图16-5配置类型选择
4.在弹出的界面中选择“拨号”,如图16-6,然后单击“下一步”。
图16-6远程访问类型
5.在界面中选择一个网络接口作为远程客户端将要访问的网络连接。
选择“本地连接”,如图16-7。
然后单击“下一步”。
图16-7网络选择
6.在“IP地址指定”窗口,您可以选择采用哪种方式对远程客户端指派IP地址,如果我们想要远程客户端使用一个指定的IP地址范围,选择“来自一个指定的地址范围”,如图16-8。
单击“下一步”。
图16-8指定IP地址
7.在弹出的页面中单击“新建”按钮,如图16-9。
图16-9指定IP地址范围
8.在弹出的“新建地址范围”窗口中输入IP地址范围,如图16-10。
然后单击“确定”。
返回“指定地址范围”窗口。
图16-10新建地址范围
9.新建的地址范围出现在“地址范围”栏中,如图16-11,然后单击“下一步”。
图16-11指定地址范围
10.在窗口中选择“否,使用路由和远程访问来对连接请求进行身份验证”,然后单击“下一步”。
如图16-12。
图16-12设置是否用RADIUS远程身份验证
RADIUS远程身份验证拨号用户服务,是为多个远程访问服务器提供集中的身份验证。
11.在“正在完成路由和远程访问服务器安装向导”页面中单击“完成”,如图16-13。
图16-13完成路由和远程访问服务器安装向导
12.将弹出“路由和远程访问”提示信息窗口,如图16-14,提示需要配置DHCP中继代理程序。
单击“确定”。
图16-14提示信息
13.系统将开始启动路由和远程访问,如图16-15。
图16-15启动路由和远程访问服务
14.经过一段时间后,路由和远程访问服务启动完毕,我们可以看到启动后的界面,如图16-16。
图16-16路由和远程访问
接下来我们就可以对路由和远程访问服务器进行一些必要的配置以满足拨号远程访问的需求。
配置远程访问服务端口
1.在路由和远程访问界面中,展开服务器,在“端口”上单击鼠标右键,选择菜单中的“属性”,如图16-17。
图16-17配置端口属性
2.在弹出的“端口属性”窗口中选择拨号连接的设备:
安装在服务器上的调制解调器,如图16-18。
然后单击“配置”按钮。
图16-18配置端口属性
3.在弹出的“配置设备”窗口中,勾选“远程访问连接(仅入站)”,然后在此“此设备的电话号码”栏输入电话号码,如图16-19。
然后单击“确定”。
图16-19配置设备
4.在返回的端口属性窗口中单击“确定”,如图16-20,完成服务端口的配置。
图16-20完成
配置用户拨入设置
1.打开“计算机管理”窗口,展开“本地用户和组”(如果是域环境,则在域控制器上打开“ActiveDirectory用户和计算机”),在允许远程访问的用户上单击鼠标右键,选择“属性”,如图16-21。
图16-21本地用户和组
2.在弹出的用户属性窗口中单击“拨入”选项卡,如图16-22。
在此可以设置远程访问的各种属性。
图16-22拨入选项卡
“允许访问”:
允许此用户使用远程访问。
“拒绝访问”:
拒绝使用远程访问连接到远程访问服务器
“通过远程访问策略控制访问”:
默认情况下,独立服务器或Windows2000本地模式域中的管理员或来宾帐户被设置为“通过远程访问策略控制访问”。
“验证呼叫方ID”:
服务器将确认呼叫方的电话号码,如果呼叫方的电话号码与服务器预设的电话号码不同,则服务器将拒绝此次连接。
“不回拨”:
服务器将不回拨客户端。
启用回拨是指服务器在收到用户的远程访问请求后,将连接挂断,再回拨用户重新建立连接。
启用回拨可以提高安全性:
通过回拨到设定的用户电话号码,可保证此用户确实能使用远程访问,而非未授权的用户。
“总是回拨到”:
输入固定的电话号码
“使用静态IP地址”:
当用户通过远程访问连接到服务器时,服务器将把一个静态的IP地址分配给该用户。
“应用静态路由”:
网络管理员需定义一系列静态IP路由,当生成一个连接时就会将这些静态路由添加到远程访问服务器的路由表中,此选项与请求拨号路由一同使用。
3.单击“允许访问”,然后单击“确定”,如图16-23。
完成用户拨入设置。
图16-23设置拨入属性
16.2.3案例:
客户端访问
1.“开始”→“设置”→“网络连接”→“新建连接向导”,启动新建连接向导,如图16-24,单击“下一步”。
图16-24新建连接向导
2.选择网络连接类型“连接到我的工作场所的网络”,单击“下一步”,如图16-25。
图16-25连接到我的工作场所的网络
3.选“拨号连接”,单击“下一步”,如图16-26。
图16-26拨号连接
4.输入连接的名称,如图16-27,然后单击“下一步”,输入远程服务器的电话号码,单击“下一步”,如图16-28。
图16-27连接名称
图16-28电话号码
5.出于安全考虑,选择“只是我使用”如图16-29。
然后单击“下一步”。
图16-29可用连接
6.在完成新建连接向导页面单击“完成”,如图16-30。
图16-30完成
7.我们可以在“网络连接”页面看到新创建的拨号连接,如图16-31。
图16-31拨号连接
8.双击创建的拨号连接,在弹出的“连接名骄实业”窗口中输入在服务器端给予了拨号访问权限的用户名和密码,如图16-32。
单击“拨号”,开始对服务器远程访问。
图16-32连接
16.3把远程访问服务器当作虚拟专用网服务器
虚拟专用网连接模拟点对点连接。
要模拟点对点连接,必须将数据封装或打包,并附加一个IP报头以提供到达虚拟专用网服务器的路由信息。
用来封装数据的那部分虚拟专用网连接称为隧道。
对于安全的虚拟专用网,将在封装之前加密数据。
如果没有密钥,则无法理解被截取的数据包。
用于加密数据的那部分虚拟专用网连接称为虚拟专用网(VPN)连接。
通过使用称为“隧道协议”的特殊协议,可以创建、管理和终止VPN连接。
虚拟专用网客户端和虚拟专用网服务器都必须支持相同的隧道协议,以创建虚拟专用网连接。
对于“点对点隧道协议(PPTP)”和“第二层隧道协议(L2TP)”这两种隧道协议而言,运行“路由和远程访问”的服务器就是一个虚拟专用网服务器。
图16-33展示了一个VPN连接。
图16-33VPN
16.3.1虚拟专用网的组件
一个虚拟专用网包括以下组件:
如图16-34。
图16-34虚拟专用网组件
虚拟专用网(VPN)服务器
可以配置VPN服务器以提供对整个网络的访问,或限制仅可访问作为VPN服务器的计算机的资源。
对于从Internet上访问虚拟专用网,通常情况下,服务器具有到Internet的永久性连接。
如果Internet服务提供商(ISP)支持请求拨号连接,则可能存在到Internet上的非永久性连接;在将通信传递给VPN服务器时创建连接。
然而,这不是常规配置。
如果VPN服务商提供对网络的访问,则必须安装独立的网络适配器,并将其连接到VPN服务器提供访问的网络上。
在WindowsServer2003WebEdition和WindowsServer2003StandardEdition上,您最多可以创建1,000个点对点隧道协议(PPTP)端口,最多可以创建1,000个两层隧道协议(L2TP)端口。
但是,WindowsServer2003WebEdition一次只能接收一个虚拟专用网(VPN)连接。
VPN客户端
VPN客户端是获得远程访问VPN连接的个人用户或获得路由器到路由器VPN连接的路由器。
运行WindowsServer2003家族产品、WindowsXP、Windows2000、WindowsNT4.0、Windows95、Windows98或WindowsMillenniumEdition的VPN客户端可以创建到VPN服务器的远程访问VPN连接。
运行WindowsServer2003家族产品、Windows2000和“路由和远程访问”或WindowsNTServer4.0和“路由和远程访问服务(RRAS)”的计算机可创建路由器到路由器的VPN连接。
VPN客户端也可以是任何点对点隧道协议(PPTP)客户端或使用Internet协议安全性(IPSec)的第二层隧道协议(L2TP)客户端。
客户端必须可以将TCP/IP数据包通过Internet发送到远程访问服务器上。
因此,需要有网络适配器或带有模拟电话线的调制解调器,或其他到Internet的WAN连接。
LAN和远程访问协议
应用程序使用LAN协议传输信息。
远程访问协议用于协商连接,并为通过广域网(WAN)链接发送的LAN协议数据提供组帧。
“路由和远程访问”支持PPP远程访问协议。
WindowsServer2003DatacenterEdition、WindowsServer2003EnterpriseEdition、WindowsServer2003WebEdition和WindowsServer2003StandardEdition都支持诸如TCP/IP和AppleTalk的LAN协议,用这些协议可以访问Internet、UNIX、AppleMacintosh和NovellNetWare资源。
隧道协议
VPN客户端通过使用PPTP或L2TP隧道协议,可创建到VPN服务器的安全连接。
WAN选项
通过使用诸如T1和“帧中继”的永久性WAN连接,将VPN服务器连接到Internet。
通过使用永久性WAN连接,或拨入(使用标准模拟电话线或ISDN)到本地Internet服务提供商(ISP),将VPN服务器连接到Internet。
安全选项
“路由和远程访问”通过支持登录和域安全,以及对安全主机、数据加密、智能卡、IP数据包筛选和呼叫器ID的支持来为VPN客户端提供安全网络访问。
16.3.2VPN隧道协议简介
点对点隧道协议
点对点隧道协议(PPTP)是在WindowsNT4.0和Windows98中首次被支持的隧道协议。
PPTP是点对点协议(PPP)的扩展,并协调使用PPP的身份验证、压缩和加密机制。
PPTP的客户端支持内置于WindowsXP远程访问客户端。
PPTP的VPN服务器支持内置于WindowsServer2003家族的成员。
PPTP与TCP/IP协议一同安装。
根据运行“路由和远程访问服务器安装向导”时所做的选择,PPTP可以配置为5个或128个PPTP端口。
PPTP和Microsoft“点对点加密(MPPE)”提供了对专用数据封装和加密的主要VPN服务。
封装
使用一般路由封装(GRE)报头和IP报头包装PPP帧(包含一个IP、IPX或Appletalk数据报)。
响应VPN客户端和VPN服务器的源IP地址及目标IP地址位于IP报头中。
图16-35显示PPP帧的PPTP封装。
图16-35PPTP封装
加密
通过使用从MS-CHAP、MS-CHAPv2或EAP-TLS身份验证过程中生成的加密密钥,PPP帧以“Microsoft点对点加密(MPPE)”方式进行加密。
为了加密PPP帧的有效负载,虚拟专用网客户端必须使用MS-CHAP、MS-CHAPv2或EAP-TLS身份验证协议。
PPTP利用下面的PPP加密,并封装以前加密的PPP帧。
第二层隧道协议
第二层隧道协议(L2TP)是基于RFC的隧道协议,该协议是一种业内标准,首次是在Windows2000客户端和服务器操作系统中所支持。
与PPTP不同,运行WindowsServer2003的服务器上的L2TP不利用Microsoft点对点加密(MPPE)来加密点对点协议(PPP)数据报。
L2TP依赖于加密服务的Internet协议安全性(IPSec)。
L2TP和IPSec的组合被称为L2TP/IPSec。
L2TP/IPSec提供专用数据的封装和加密的主要虚拟专用网(VPN)服务。
VPN客户端和VPN服务器必须支持L2TP和IPSec。
L2TP的客户端支持内置于WindowsXP远程访问客户端,而L2TP的VPN服务器支持内置于WindowsServer2003家族的成员。
L2TP与TCP/IP协议一同安装。
根据运行“路由和远程访问服务器安装向导”时所做的选择,L2TP可以配置为5个或128个L2TP端口。
封装
L2TP/IPSec数据包的封装由两层组成:
L2TP封装——使用L2TP头文件和UDP头文件包装PPP帧(包含一个IP数据包或一个IPX数据包)。
IPSec封装——使用IPSec封装式安全措施负载(ESP)头文件和尾文件、提供消息完整性和身份验证的IPSec身份验证尾文件及最后的IP头文件包装L2TP结果消息。
在IP头文件中有与VPN客户端和VPN服务器对应的源和目标IP地址。
图16-36显示了PPP数据包的L2TP和IPSec封装。
图16-36L2TP和IPSec封装
加密
使用Internet密钥交换(IKE)协商进程中生成的加密密钥,L2TP消息可用数据加密标准(DES)或三级DES(3DES)进行加密。
16.3.3案例:
配置VPN访问服务器
启动VPN服务
1.单击“开始”→“程序”→“管理工具”→“路由和远程访问”,打开“路由和远程访问”界面,在服务器上单击鼠标右键,在弹出菜单是上选择“配置并启动路由和远程访问”,如图16-37。
图16-37路由和远程访问
2.弹出“路由和远程访问服务器安装向导”界面,如图16-38,单击“下一步”。
图16-38路由和远程访问服务器安装向导
3.在弹出的界面中选择“远程访问(拨号或VPN)”如图16-39,然后单击“下一步”。
图16-39配置
4.在弹出的界面中选择“VPN”,如图16-40,然后单击“下一步”。
图16-40VPN
5.在“VPN连接”页面中选择和Internet连接的网络接口,如图16-41,选择配置公网IP地址202.106.171.13的网络接口。
单击“下一步”。
图16-41VPN连接
6.在“IP地址指定”窗口,您可以选择采用哪种方式对远程客户端指派IP地址,我们选择“自动”,让DHCP服务器分配IP地址,如图16-42。
然后单击“下一步”。
图16-42IP地址指定
7.在窗口中选择“否,使用路由和远程访问来对连接请求进行身份验证”,然后单击“下一步”。
如图16-43。
图16-43选择身份验证方式
8.在“正在完成路由和远程访问服务器安装向导”页面中单击“完成”,如图16-44。
图16-44完成向导
9.将弹出“路由和远程访问”提示信息窗口,如图16-45,提示需要配置DHCP中继代理程序。
单击“确定”。
图16-45提示信息
10.系统将开始启动路由和远程访问,如图16-46。
图16-46启动服务
11.经过一段时间后,路由和远程访问服务启动完毕,我们可以看到启动后的界面,如图16-47。
图16-47路由和远程访问
配置VPN服务器端口属性
VPN服务安装完毕,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第16章 实现远程访问服务 16 实现 远程 访问 服务
![提示](https://static.bdocx.com/images/bang_tan.gif)