第21章远程访问服务的配置和策略管理

远程拨号访问服务2121-1概述•远程访问：远程用户连接到公司网络•路由和远程访问服务RRAS•客户创建远程访问连接、访问权限•强化远程访问功能–身份验证和加密协议–DHCP21-2在Windows2003中检测远程访问•硬件：modem、ISDN、DSL•RRAS服务、建立远程访问连接LAN协议:TCP/IP,NWLink……远程访问协议如：PPP,SLIP本地局域网远程访问客户远程访问服务器拨号•远程访问进程–远程访问服务器：2003S+RRAS•身份验证，•相当于客户机和局域网之间的网关•使远程用户等同于局域网的用户•远程访问连接的类型–拨号连接（modem,ISDN等）•使用PSTN等连接到RRAS的一个端口•长途话费高，容量低数据传输协议远程访问服务器远程访问客户PPPSLIP(仅客户)MicrosoftRASARAP(serveronly)TCP/IPNWLinkNetBEUIAppleTalk远程访问协议局域网协议•2003使用远程访问协议–建立两个远程访问设备之间的连接•通常是调制解调器•安装和配置RRAS服务时–选择：整个网络/仅远程访问服务器–若使用TCP/IP，需配置提供IP地址的方式•远程访问协议–2003不能作为SLIP服务器–MSRAS协议为NT3.1\WKG\DOS•NetBEUI–AppleTalk远程访问协议：ARAP•使AppleMacintosh客户机可访问2003远程访问服务器•反之，2003客户不能访问ARAP远程访问服务器•LAN协议–使RRAS服务集成MS、UNIX、NOVELL•首先要为相应的连接类型启用一个端口–调制解调器、电缆–2003P，或2003S非域成员•使用“网络连接”–2003S域成员•使用“RRAS”21-3配置入站连接配置入站拨号连接路由和远程访问RoutingandRemoteAccessServerStatusSERVERX(local)ActionView配置并启用路由和远程访问DisableRoutingandRemoteAccessDeleteRefreshExportList...PropertiesHelpAllTasksView•远程客户机协议：默认仅TCP/IP•RADIUS—远程身份验证拨入用户服务配置调制解调器和电缆端口PortsPropertiesRASDeviceConfigurationInthelistbelow,selectthosedeviceswhichcanbeusedbytheRoutingandRemoteAccessServices.Devices:UsageDeviceTypeNum...RasRasNoneWANMiniport(PPTP)WANMiniport(L2TP)DirectParallelPPTPL2TPParallel551ConfigureConfigureports-WANMiniport(PPTP)Youcanenablethisdevicetoacceptinboundremoteaccessrequestsandtoenabledemand-dialroutingconnections.远程访问（仅入站）请求拨号路由选择连接（入站和出站）此设备的电话号码:PortsYoucanadjusttheportlimitforadevicewhichsupportsdynamicports(suchasvirtualcircuits).最多端口数:5OKCancel端口，类型组端口的功能电话号码(如果可用)虚拟端口数目配置用户拨入设置User1PropertiesGeneralAddressAccountProfileTelephonesOrganizationMemberOfEnvironmentTimeoutsDial-inRemoteAccessPermission(Dial-inorVPN)CallbackOptions应用静态路由允许访问拒绝访问通过远程访问策略控制访问验证呼叫方ID:不回拨由呼叫方设置（仅路由和远程访问服务）总是回拨到:分配静态IP地址DefineroutestoenableforthisDial-inconnection.OKCancelApplyStaticRoutes...权限呼叫方ID回拨IP路由公司付费公司付费且指定•三种基本类型–拨号连接•到专用网络或服务器的连接–到VPN的连接–通过电缆的直接连接21-4配置出站连接（客户）考察硬件选项连接方式PSTNISDN电缆调制解调器X.25直接的连接创建拨号连接NetworkConnectionTypeYoucanchoosethetypeofnetworkconnection...NetworkConnectionWizardDial-uptoprivatenetworkDial-uptotheInternetConnectusingmyphoneline(modemorISDN)ConnecttotheInternetusingmyphoneline(modemorISDN)客户远程访问服务器客户ISP服务器Internet•利用“新建连接”•启用此连接的Internet共享–向导中，必须选择“用于所有用户”–局域网的操作可能会被中断•因为IP将改变192.168.0.1•启用请求拨号–局域网上的其它机器动自动拨此连接通过电缆直接连接主机来宾Thiscomputerhastheinformationyouwanttoaccess.HostorGuestToconnecttwocomputers,specifywhichoneyouareusing.NetworkConnectionWizardChoosetheroleyouwantforthiscomputerThiscomputerwillbeusedtoaccessinformationonthehostcomputer.SelectaDeviceThisisthedevicethatwillbeusedtomaketheconnection.NetworkConnectionWizardSelectadevice:CommunicationsPort(Com1)CommunicationsPort(Com1)CommunicationsPort(Com2)DirectParallel(LPT1)CommunicationsPort(Com1)21-5配置多链路连接ABABC远程访问服务器多链路带BAP按需动态增/减链路远程访问服务器多链路•多链路技术–将多个物理链路结合成一个逻辑束，以增加带宽，如4*128=512Kpbs–PPP多链路协议•BAP带宽分配协议–提供动态的多链路支持•服务器配置–RRAS—服务器—属性—PPP•多重链接连接–使用BAP或BACP的动态带宽控制•在远程访问客户机上配置多链路–相应连接—属性—常规•选择连接使用的多个设备–选项（选一个）•只拨叫第一个可用的设备•拨叫所有设备•只根据需要拨叫设备–活动至少到：–持续时间至少为：–防止未经授权的用户访问你网络•标准的身份验证协议21-7配置身份验证协议标准的身份验证协议协议安全性PAP低口令明文SPAP中口令加密CHAP高MS-CHAP高何时使用客户机和服务器不能利用更安全的验证形式进行协商时。双向可逆的加密机制某些客户运行非MS操作系统，MD5有些用户运行NT4.0，95/98，2003MS-CHAPv2高有些运行2003的拨号客户机运行NT4/98的VPN机更强的初始数据密钥，不同的密钥可扩展的身份验证协议（EAP—ExtensibleAuthenticationProtocols）•提供专用的及未来的身份验证方法•支持所使用的身份验证–MD5-CHAP–传输层安全性TLS，支持智能卡验证•智能卡：用户证书和私有密钥–附加的第三方的身份验证方法，如：令牌卡•令牌卡：代码每次使用时都会发生变化•确保支持通过API进行身份验证的方法–新技术：智能卡、令牌卡、生物计量硬件—视网膜、指纹–尚未开发的身份验证技术21-8配置加密协议：RRAS—远程访问策略—相应策略—属性—编辑配置文件—加密EditDial-inProfileDial-inConstraintsIPMultilinkAdvancedEncryptionAuthenticationNOTE:TheseencryptionsettingsapplyonlytotheWindows2003RoutingandRemoteAccessService.Selectthelevel(s)ofencryptionthatshouldbeallowedbythisprofile.无加密基本加密强加密最强加密OKCancelApplyIPSec：56位（DES）MPPE：40位IPSec：56位（DES）MPPE：56位IPSec：3DESMPPE：128位•客户机接收IP地址的方式–静态的IP地址–来自一个IP地址范围–从DHCP服务器获取•一般使用短租期：如一小时21-9为DHCP集成配置路由和远程访问利用DHCP将IP地址分配给远程访问客户机•如果DHCP服务器是可用的•如果DHCP服务器是不可用的•将某些DHCP选项指定给拨号用户–可使用默认的路由和远程访问类CLASS远程访问服务器一次从DHCP服务器获得10个IP地址第一个地址给自己使用远程访问服务器使用APIPA地址169.254.0.0/16为使用DHCP而配置路由和远程访问GeneralSecurityIPPPPEventLoggingEnableIProutingAllowIP-basedremoteaccessanddemand-dialconnectionsIPaddressassignmentThisservercanassignIPaddressesbyusing:DynamicHostConfigurationProtocol(DHCP)StaticaddresspoolFromToNumberIPAdd…MaskAdd…Edit…RemoveUsethefollowingadaptertoobtainDHCP,DNS,andWINSaddressesfordial-upclients.Adapter:OKCancelApplyLONDON(local)PropertiesCorpnet: