Введение в технологии удаленного доступа Microsoft и их краткий обзор

OSzone.net » Microsoft » Windows 2000/NT » Другое » Введение в технологии удаленного доступа Microsoft и их краткий обзор
Автор: Артем Жауров aka Borodunter
Иcточник: (переведено с англ.) Microsoft Technet
Опубликована: 25.09.2006
Club logo

Опубликовано: 18 марта 2002 г.

Аннотация

Система удаленного доступа позволяет пользователям удаленных компьютеров создавать логические подключения к сети организации или Интернету. Операционные системы корпорации Microsoft включают в себя клиентские и серверные приложения, поддерживающие как подключения удаленного доступа (Dial-Up), так и подключения к виртуальным частным сетям (Virtual Private Network, VPN). Операционные системы корпорации Microsoft содержат широкий набор функциональных возможностей, позволяющих создавать гибкие и безопасные решения на основе удаленного доступа.

На этой странице

Введение

Дополнительные возможности удаленного доступа

Средства защиты системы удаленного доступа Microsoft

Настройка сервера удаленного доступа Windows 2000

Настройка клиента удаленного доступа Windows XP

Диспетчер подключений и управление подключениями удаленного доступа

Заключение

Связанные ресурсы

Введение

Система удаленного доступа – это ряд технологий, обеспечивающих прозрачное подключение к сети удаленных клиентов, как правило, расположенных за пределами локальной сети организации. Обычно организации используют удаленный доступ, чтобы подключить к сети организации переносные или домашние компьютеры своих сотрудников (для чтения электронной почты или доступа к общим файлам). Также с помощью удаленного доступа поставщики услуг Интернета подключают к сети Интернет своих клиентов.

Запуская клиентские приложения для удаленного доступа, пользователи инициируют подключение к серверу удаленного доступа. Сервер в свою очередь выполняет проверку подлинности пользователей и обслуживает сеанс связи на протяжении всего времени подключения, пока оно не будет завершено пользователем или сетевым администратором. Все службы, которые обычно доступны пользователям локальной сети (включая общие файлы и принтеры, доступ к веб-серверу и службы обмена сообщениями), также доступны и через подключение удаленного доступа.

Для доступа к ресурсам клиенты удаленного доступа используют стандартные средства. Например, удаленный клиент, работающий на компьютере под управлением Windows 2000, может подключиться к сетевому диску или принтеру с помощью проводника Windows. Подключения являются постоянными – это означает, что во время удаленного сеанса пользователям не придется заново подключаться к сетевым ресурсам. Поскольку при удаленном доступе полностью поддерживаются буквы дисков и универсальные имена UNC (Universal naming convention), большинство коммерческих и пользовательских приложений работают без каких-либо дополнительных модификаций.

На Рисунке 1 представлен логический эквивалент подключения удаленного клиента к серверу удаленного доступа.


Увеличить рисунок

Рисунок 1 – Логический эквивалент подключения удаленного доступа

Windows 2000 поддерживает два различных типа соединений удаленного доступа:

1.

Удаленный доступ. При использовании удаленного доступа клиент использует инфраструктуру телекоммуникаций (как правило, аналоговая телефонная линия), создавая временный физический или виртуальный канал к порту сервера удаленного доступа. После создания физического или виртуального канала могут быть согласованы остальные параметры подключения.

2.

Доступ к виртуальной частной сети (VPN). При удаленном доступе к виртуальной частной сети VPN-клиент использует IP-сеть для создания виртуального подключения «точка-точка» к серверу удаленного доступа, выступающего в роли VPN-сервера. После установления виртуального подключения «точка-точка» могут быть согласованы остальные параметры подключения.

Удаленный доступ и удаленное управление

Следует отличать удаленный доступ от удаленного управления. Сервер удаленного доступа – это программный маршрутизатор, поддерживающий несколько протоколов; решения для удаленного управления основаны на функциях совместного использования экрана, клавиатуры и мыши через удаленное соединение. Удаленный доступ и удаленное управление имеют следующие отличия:

При удаленном доступе приложения выполняются на компьютере удаленного клиента. Примером сервера удаленного доступа является компьютер под управлением Windows 2000 Server с запущенной службой маршрутизации и удаленного доступа (Routing and Remote Access service). Примером клиента удаленного доступа является компьютер под управлением Windows 2000 Professional.

При удаленном управлении пользователи используют процессор (или несколько процессоров) сервера, и приложения выполняются также на сервере. Процессор удаленного сервера используется для поддержания взаимодействия между клиентами удаленного доступа и сетевыми ресурсами, но не между клиентами и работающими приложениями. Примером сервера удаленного управления является компьютер с установленной ОС Windows 2000 Server, на котором запущены службы терминалов (Terminal Services). Примером клиента удаленного управления является компьютер с установленной ОС Windows 2000 Professional, на котором запущен клиент служб терминалов.

Компоненты подключения удаленного доступа

Подключение удаленного доступа, изображенное на Рисунке 2, состоит из клиента удаленного доступа, сервера удаленного доступа и инфраструктуры глобальной сети (Wide area network, WAN).


Увеличить рисунок

Рисунок 2 – Компоненты подключения удаленного доступа

Клиент удаленного доступа

Клиенты удаленного доступа операционных систем Windows XP, Windows 2000, Microsoft Windows NT 4.0, Microsoft Windows Millennium Edition и Microsoft Windows 98 могут подключаться к серверу удаленного доступа под управлением Windows 2000, а также к большинству других серверов удаленного доступа. Почти все сторонние клиенты удаленного доступа на основе протокола PPP (Point-to-Point Protocol – протокол «точка-точка»), включая клиентов UNIX и Apple Macintosh, также могут подключаться к серверу удаленного доступа под управлением Windows 2000.

Сервер удаленного доступа

Сервер удаленного доступа под управлением Windows 2000 принимает подключения удаленного доступа и пересылает пакеты между клиентами удаленного доступа и сетью, к которой он подключен.

Оборудование для удаленного доступа и инфраструктура глобальной сети (WAN)

Физическое или логическое подключение между сервером и клиентом удаленного доступа поддерживается с помощью оборудования, установленного на сервере и клиенте удаленного доступа, а также с помощью инфраструктуры телекоммуникаций. Тип оборудования для удаленного доступа и инфраструктура телекоммуникаций различаются в зависимости от типа устанавливаемого подключения.

Протоколы удаленного доступа

Протоколы удаленного доступа управляют процессом установления подключения и передачей данных через соединения глобальной сети. Операционная система и протоколы локальных сетей (LAN), использующиеся клиентами и серверами удаленного доступа, определяют, какие из протоколов удаленного доступа могут использоваться клиентами.

Основным протоколом удаленного доступа, поддерживаемым современными операционными системами корпорации Microsoft (включая Windows XP, Windows 2000 и Windows Millennium Edition), является PPP – стек протоколов, основанный на промышленных стандартах, обеспечивающий безопасность, совместимость и поддержку нескольких протоколов.

Протоколы локальных сетей

Протоколы локальных сетей (LAN) – это протоколы, используемые удаленными клиентами для доступа к ресурсам сети, к которой подключен сервер удаленного доступа. Система удаленного доступа Microsoft поддерживает протоколы TCP/IP, IPX и AppleTalk.

В Таблице 1 перечислены протоколы локальных сетей, используемые при удаленном доступе.

Таблица 1 – Протоколы локальных сетей и их использование

Протоколы LAN

Клиенты удаленного доступа под управлением Windows XP и Windows 2000

Сервер удаленного доступа под управлением Windows 2000

TCP/IP

X

X

IPX

X

X

AppleTalk

 

X

Компоненты VPN-подключения удаленного доступа

VPN-подключение удаленного доступа, изображенное на Рисунке 3, состоит из клиента удаленного доступа, сервера удаленного доступа и сети Интернет.


Увеличить рисунок

Рисунок 3 – Компоненты VPN-подключения удаленного доступа

VPN-клиент удаленного доступа

VPN-клиентами являются либо отдельные пользователи, устанавливающие подключения удаленного доступа, либо маршрутизаторы, устанавливающие VPN-подключения «маршрутизатор-маршрутизатор». VPN-клиенты под управлением операционных систем Windows XP, Windows 2000, Windows NT 4.0, Windows Millennium Edition и Windows 98 могут создавать VPN-подключения удаленного доступа к серверу удаленного доступа под управлением Windows 2000, выступающему в роли VPN-сервера, а также к большинству других VPN-серверов. VPN-клиентом может также являться любой клиент на основе протокола PPTP (Point-to-Point Tunneling Protocol) или L2TP (Layer Two Tunneling Protocol), использующий IP-безопасность (IPSec). Компьютеры под управлением ОС Windows 2000 Server или Windows NT Server 4.0 (с установленной службой маршрутизации и удаленного доступа (Routing and Remote Access Service, RRAS) для Windows NT 4.0 Server) могут создавать VPN-подключения «маршрутизатор-маршрутизатор».

VPN-сервер удаленного доступа

Сервер удаленного доступа под управлением Windows 2000 принимает VPN-подключения на основе протоколов PPTP и L2TP/IPSec и пересылает пакеты между клиентами удаленного доступа и сетью, к которой он подключен.

VPN-протоколы

Сервер удаленного доступа под управлением Windows 2000, а также клиенты удаленного доступа поддерживают два протокола для VPN-подключений удаленного доступа:

Протокол PPTP (Point-to-Point Tunneling Protocol – туннельный протокол «точка-точка»)

Протокол L2TP (Layer Two Tunneling Protocol – протокол туннелирования второго уровня)

Протокол PPTP (Point-to-Point Tunneling Protocol)

Туннельный протокол PPTP, поддержка которого впервые была реализована в операционной системе Windows NT 4.0, является расширением протокола PPP (Point-to-Point Protocol) и имеет улучшенные механизмы проверки подлинности, сжатия и шифрования. Протокол PPTP устанавливается автоматически вместе с протоколом TCP/IP. Главными функциями протокола PPTP и метода MPPE (Microsoft Point-to-Point Encryption) при работе с VPN являются инкапсуляция и шифрование личных данных.

Кадр PPP (IP- или IPX-датаграмма) заключается в оболочку с заголовком GRE (Generic Routing Encapsulation) и заголовком IP. IP-заголовок содержит IP-адреса источника и приемника, которые соответствуют VPN-клиенту и VPN-серверу.

Кадр PPP зашифрован по методу MPPE с использованием ключей шифрования, созданных в процессе проверки подлинности по протоколу MS-CHAP, MS-CHAP v2 или EAP-TLS. Клиенты виртуальных частных сетей должны использовать для шифрования полезных данных PPP протокол проверки подлинности MS-CHAP, MS-CHAP v2 или EAP-TLS. PPTP не предоставляет средств шифрования, а использует средства, предоставляемые протоколом PPP, и инкапсулирует предварительно зашифрованный кадр PPP.

На Рисунке 4 показано шифрование кадра PPP и его инкапсуляция протоколом PPTP.


Увеличить рисунок

Рисунок 4 - Шифрование и инкапсуляция кадра PPP протоколом PPTP

Протокол L2TP (Layer Two Tunneling Protocol)

Протокол L2TP является промышленным туннельным протоколом Интернета стандарта EITF (Internet Engineering Task Force – рабочая группа по стандартам для сети Internet). В отличие от протокола PPTP, L2TP не использует метода MPPE для шифрования кадров PPP. L2TP использует средства шифрования, предоставляемые методом IPSec (Internet Protocol security – IP-безопасность). Комбинация L2TP и IPSec известна как L2TP/IPSec. Протоколы L2TP и IPSec должны поддерживаться как VPN-сервером, так и VPN-клиентом. Протокол L2TP устанавливается автоматически вместе со службой маршрутизации и удаленного доступа (Routing and Remote Access service).

Главными функциями L2TP/IPSec при работе с VPN являются инкапсуляция и шифрование личных данных.

Инкапсуляция пакетов L2TP поверх IPSec выполняется в два этапа.

Инкапсуляция L2TP. Кадр PPP (IP- или IPX-датаграмма) заключается в оболочку с заголовком L2TP и заголовком UDP.

Инкапсуляция IPSec. Полученное L2TP-сообщение заключается в оболочку с заголовком и трейлером IPSec ESP (Encapsulating Security Payload – модуль безопасной инкапсуляции содержимого), трейлером проверки подлинности IPSec, обеспечивающим целостность сообщения и проверку подлинности, и заголовком IP. IP-заголовок содержит IP-адреса источника и приемника, которые соответствуют VPN-клиенту и VPN-серверу. L2TP-сообщение зашифровано с помощью механизмов шифрования IPSec с использованием ключей шифрования, созданных в процессе проверки подлинности по методу IPSec.

На Рисунке 5 показано шифрование и инкапсуляция кадра PPP протоколом L2TP/IPSec.


Увеличить рисунок

Рисунок 5 - Шифрование и инкапсуляция кадра PPP протоколом L2TP/IPSec

Интернет

В качестве среды передачи данных между VPN-клиентом и VPN-сервером удаленного доступа может выступать любая сеть на основе протокола TCP/IP, но, как правило, этой средой чаще всего является сеть Интернет. VPN-клиенты часто подключаются к Интернету через поставщика услуг Интернета с помощью соединений удаленного доступа, после чего устанавливают VPN-подключение к сети своей организации.

Наверх страницы

Дополнительные возможности удаленного доступа

Текущие операционные системы Microsoft поддерживают следующие дополнительные возможности для подключений удаленного доступа:

Поддержка клиентов RADIUS

Служба маршрутизации и удаленного доступа (Routing and Remote Access service) Windows 2000 может использовать средства ОС Windows или протокол службы удаленной проверки подлинности RADIUS (Remote Authentication Dial-In User Service) в качестве поставщиков служб проверки подлинности и учета

Если в качестве поставщика служб проверки подлинности и учета используется Windows 2000, то для проверки учетных данных безопасности клиента удаленного доступа (как правило, это имя пользователя и пароль), а также для доступа к свойствам удаленного подключения его учетной записи сервер удаленного доступа использует встроенные функции операционной системы. Подключение удаленного доступа авторизуется локально настроенными политиками удаленного доступа, а информация учета подключений записывается в локальные файлы журнала учета.

Если в качестве поставщика служб проверки подлинности и учета используется RADIUS, то сервер удаленного доступа выступает в качестве клиента RADIUS, посылая учетные данные пользователя и другие параметры подключения RADIUS-серверу. RADIUS-сервер проверяет полученные данные пользователя удаленного доступа, авторизует попытку подключения и хранит информацию учета подключений.

RADIUS-сервер входит в состав операционной системы Windows 2000 Server в качестве дополнительного сетевого компонента – службы проверки подлинности в Интернете (Internet Authentication Service, IAS). Если в качестве RADIUS-сервера используется служба IAS, то для проверки учетных данных безопасности клиента удаленного доступа и для доступа к свойствам удаленного подключения его учетной записи IAS-сервер использует встроенные функции операционной системы. Авторизация подключений удаленного доступа происходит на основе политик удаленного доступа, настроенных на IAS-сервере, а информация учета подключений записывается в файлы журнала учета, хранящиеся на IAS-сервере.

Поддержка многоадресного перенаправления

Если Ваша сеть поддерживает многоадресную IP-рассылку, сервер удаленного доступа Windows 2000 может выступать в качестве многоадресного шлюза между клиентами удаленного доступа и такой сетью. Уведомления от клиентов удаленного доступа о готовности получения многоадресного IP-трафика передаются маршрутизатору с многоадресной поддержкой, подключенному к тому же сегменту сети, что и сервер удаленного доступа. Когда многоадресный трафик, предназначенный для клиента удаленного доступа, перенаправляется в сегмент сети, к которому подключен сервер удаленного доступа, последний перенаправляет многоадресный пакет тому клиенту удаленного доступа, для которого предназначен этот пакет. Клиенты удаленного доступа могут обмениваться многоадресным IP-трафиком друг с другом. Поддержка многоадресного перенаправления включается по умолчанию при запуске мастера установки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard). Для получения дополнительной информации обратитесь к разделу «Настройка сервера удаленного доступа Windows 2000» данного документа.

Поддержка протокола DHCP

Протокол динамической конфигурации узла (Dynamic Host Configuration Protocol, DHCP) предназначен для автоматического назначения IP-адресов и сетевых настроек TCP/IP и часто используется в сетевой инфраструктуре организаций. Поддержка операционной системой Windows 2000 протокола DHCP для удаленного доступа может осуществляться следующими способами:

Сервер удаленного доступа Windows 2000 может быть настроен на использование DHCP для получения IP-адресов, которые назначаются клиентам удаленного доступа во время процесса установления PPP-подключения. Для получения IP-адресов клиенты удаленного доступа не используют DHCP, а получают адреса от сервера удаленного доступа с помощью согласования PPP. Для назначения удаленным клиентам IP-адресов с помощью DHCP может использоваться существующая инфраструктура управления TCP/IP. Использование DHCP-адресов упрощает маршрутизацию трафика, предназначенного для клиентов удаленного доступа.

После установления PPP-соединения клиенты удаленного доступа под управлением Windows 2000 и Windows XP посылают серверу удаленного доступа специальное DHCP-сообщение, известное как сообщение DHCPInform. В сообщении DHCPInform содержится запрос определенного набора конфигурационных параметров. На сервере удаленного доступа Windows 2000 может быть настроено перенаправление сообщений DHCPInform к DHCP-серверу в сети организации, а также обратное перенаправление ответов от DHCP-сервера к клиенту удаленного доступа. Конечным результатом будет являться то, что клиенты удаленного доступа под управлением Windows 2000 и Windows XP смогут получить конфигурационные параметры, которые не предоставляются во время согласования PPP-подключения (например, DNS-имя домена клиента удаленного доступа).

Многоканальные подключения и протокол распределения пропускной способности

Для физических каналов связи удаленных подключений система удаленного доступа Windows 2000 поддерживает многоканальные подключения и протокол распределения пропускной способности (Bandwidth Allocation Protocol, BAP). При использовании многоканальных подключений несколько физических каналов связи объединяются в один логический канал, по которому отправляются и принимаются данные. Хорошим примером служит объединение двух B-каналов ISDN-подключения с интерфейсом BRI (Basic Rate Interface). Многоканальные подключения — это рекомендуемый способ объединения B-каналов ISDN-подключения с интерфейсом BRI, так как адаптеры ISDN аппаратно поддерживают такую возможность. Многоканальные подключения можно использовать с любым адаптером ISDN. Многоканальные подключения должны поддерживаться обеими сторонами подключения.

Возможность многоканального подключения позволяет объединять несколько физических каналов связи, но не предусматривает механизма учета изменяющихся требований к полосе пропускания, который при необходимости мог бы подключать и отключать дополнительные линии связи. Такой механизм предоставляет протокол BAP (Bandwidth Allocation Protocol). BAP использует многоканальное подключение для динамического управления каналами связи.

Например, клиент и сервер удаленного доступа, поддерживающие многоканальные подключения и протокол BAP, вначале создают многоканальное подключение по одному физическому каналу. Когда загруженность этого канала повышается до определенного уровня, клиент удаленного доступа с помощью запроса BAP запрашивает дополнительный канал связи. Запрос BAP указывает тип требуемого канала (например, аналоговая телефонная линия, ISDN или X.25). Сервер удаленного доступа отправляет ответ BAP, содержащий номер телефона доступного порта сервера удаленного доступа; этот порт имеет тот тип, который запрашивал клиент удаленного доступа.

Ответный вызов

При использовании ответного вызова сервер удаленного доступа производит проверку учетных данных клиента удаленного доступа, после чего выполняет ответный вызов. Сервер может выполнять ответный вызов, используя телефонный номер, указанный клиентом удаленного доступа во время совершения входящего звонка. Это позволяет мобильному пользователю получать ответные звонки по месту его нахождения и, тем самым, снижать затраты на оплату телефонных услуг. Также сервер может выполнять ответный вызов, используя постоянный, заранее заданный телефонный номер. Такой способ является безопасной формой ответного вызова.

Наверх страницы

Средства защиты системы удаленного доступа Microsoft

Поскольку система удаленного доступа разработана для обеспечения прозрачного подключения удаленных клиентов к сети и для предоставления доступа к данным, потенциально содержащим конфиденциальную информацию, защита подключений удаленного доступа является очень важной составляющей. Система удаленного доступа Microsoft располагает широким набором средств обеспечения безопасности, в который входят:

Проверка подлинности и авторизация

Безопасная проверка подлинности пользователя

Протокол расширенной проверки подлинности EAP (Extensible Authentication Protocol)

Шифрование данных

Код вызова

Блокировка учетной записи при удаленном доступе

Фильтрация пакетов для VPN-подключений удаленного доступа

Фильтры пакетов в профиле политики удаленного доступа

Проверка подлинности и авторизация

Чтобы понять, почему попытки подключения могут приниматься или отклоняться, важно понимать различия между проверкой подлинности и авторизацией.

Проверка подлинности – это проверка учетных данных попытки подключения. В процессе проверки подлинности клиент удаленного доступа посылает свои учетные данные серверу удаленного доступа, используя протокол проверки подлинности.

Авторизация – это подтверждение того, что попытка подключения разрешена. Авторизация происходит после успешной проверки подлинности.

Для того чтобы попытка подключения была принята, она должна пройти проверку подлинности и авторизацию. Попытка подключения с правильными учетными данными может пройти проверку подлинности, но, тем не менее, не быть авторизована. В этом случае попытка подключения отклоняется.

Если для проверки подлинности сервер удаленного доступа использует встроенные средства Windows, то для проверки учетных данных, а также для доступа к свойствам удаленного подключения учетной записи пользователя используются средства безопасности Windows 2000, а локальные политики удаленного доступа производят авторизацию подключения. Если попытка подключения прошла проверку подлинности и авторизацию, она принимается.

Политики удаленного доступа представляют собой упорядоченный набор правил, определяющих то, каким образом происходит авторизация подключений. Политики удаленного доступа также задают ограничения для подключений, прошедших авторизацию. Попытки подключений поочередно оцениваются политиками удаленного доступа; при этом проверяется, удовлетворяет ли попытка подключения всем условиям каждой политики. Если попытка подключения не удовлетворяет всем условиям какой либо из политик, она отклоняется.

Если подключение удовлетворяет всем условиям политики удаленного доступа и ему предоставлено право удаленного доступа, профиль политики задает для подключения ряд дополнительных ограничений. Свойства удаленного подключения учетной записи пользователя также задают ряд ограничений. Если применяются ограничения учетной записи пользователя, они будут перекрывать ограничения политики удаленного доступа.

Одно из самых полезных условий, которое можно задать в политике удаленного доступа – это принадлежность к определенной группе Windows. С помощью этого условия Вы можете задавать ограничения относительно авторизации и подключения, основанные на принадлежности учетной записи удаленного пользователя к определенной группе. Например, Вы можете:

Для членов группы Операторы запретить подключения в нерабочие часы.

Для членов группы Сотрудники задать максимальное время сеанса подключения, равное 10 минутам, и время простоя, равное 5 минутам.

Для членов группы Руководители задать неограниченное время сеанса подключения и неограниченное время простоя.

Если для проверки подлинности сервер удаленного доступа использует RADIUS, учетные попытки подключения передаются RADIUS-серверу для проверки подлинности и авторизации. Если попытка подключения успешно прошла проверку подлинности и авторизацию, RADIUS-сервер посылает серверу удаленного доступа сообщение предоставления доступа, и попытка подключения принимается. Если попытка подключения не прошла проверку подлинности или авторизацию, RADIUS-сервер посылает в ответ сообщение отказа в доступе, и попытка подключения отклоняется.

Если в качестве RADIUS-сервера выступает компьютер под управлением Windows 2000 Server с запущенной службой IAS, IAS-сервер выполняет проверку подлинности, используя средства безопасности Windows 2000, а также выполняет авторизацию на основании свойств удаленного подключения учетной записи пользователя и политик удаленного доступа, настроенных на IAS-сервере.

Безопасная проверка подлинности пользователя

Безопасная проверка подлинности пользователя достигается путем шифрованного обмена учетными данными. Для PPP-подключений возможно использование следующих протоколов проверки подлинности:

Протокол EAP (Extensible Authentication Protocol)

Протокол MS-CHAP (Microsoft Challenge Handshake Authentication Protocol)

Протокол MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol версии 2)

Протокол CHAP (Challenge Handshake Authentication Protocol)

Протокол SPAP (Shiva Password Authentication Protocol)

Можно настроить сервер удаленного доступа таким образом, чтобы он требовал использования определенных методов безопасной проверки подлинности. Если клиент удаленного доступа не может использовать требуемые методы проверки подлинности, подключение отклоняется.

Протокол EAP (Extensible Authentication Protocol)

Протокол EAP является новым стандартом, позволяющим использовать для проверки PPP-подключений дополнительные механизмы проверки подлинности. При использовании таких протоколов проверки подлинности, как MS-CHAP и SPAP, на этапе установления соединения выбирается определенный механизм проверки подлинности. Затем на этапе проверки подлинности подключения используется протокол согласованной проверки подлинности. Протокол проверки подлинности представляет собой серию сообщений, посылаемых в определенном порядке.

Если используется протокол EAP, то механизм проверки подлинности на этапе установления соединения не выбирается. Вместо этого каждый PPP-узел согласовывает использование протокола EAP, осуществляемое на этапе проверки подлинности подключения. На этапе проверки подлинности каждый PPP-узел должен сначала согласовать использование определенной схемы проверки подлинности, которая называется типом EAP. Как только тип EAP согласован, протокол EAP позволяет вести свободный диалог между сервером и клиентом удаленного доступа. Этот диалог может сильно различаться в зависимости от параметров подключения и состоит из запросов на необходимую информацию проверки подлинности и ответов клиента. Продолжительность и содержание диалога проверки подлинности зависит от типа EAP.

Например, при использовании EAP совместно с токенами безопасности сервер удаленного доступа может по отдельности запросить у клиента имя, PIN-код и информацию токена. После получения сервером проверки подлинности ответа на очередной запрос пользователь переходит на следующий уровень проверки. После того, как были получены ответы на все запросы проверки подлинности, происходит авторизация пользователя и ему выдается разрешение на доступ в сеть.

В протоколе EAP реализована архитектурная поддержка компонентов проверки подлинности, выполненных в виде подключаемых модулей, устанавливаемых на обеих сторонах подключения – на стороне сервера и на стороне клиента. Установив один и тот же модуль проверки подлинности на сервере и на клиенте удаленного доступа, можно организовать поддержку нового типа EAP. Это позволяет производителям в любое время представлять новые схемы проверки подлинности. EAP обеспечивает высочайшую гибкость и поддержку множества уникальных методов проверки подлинности.

Windows 2000 и Windows XP поддерживают два типа EAP для клиентов удаленного доступа – EAP-MD5 и EAP-TLS. Служба маршрутизации и удаленного доступа (Routing and Remote Access service) для Windows 2000 Server обеспечивает поддержку EAP-MD5, EAP-TLS и отправку EAP-сообщений RADIUS-серверу.

EAP-MD5 (EAP-Message Digest 5)

Протокол EAP-MD5 – это механизм проверки подлинности протокола CHAP (Challenge Handshake Authentication Protocol), использующийся в среде EAP. EAP-MD5 является обязательным типом EAP и может использоваться для проверки работы EAP. Также как и CHAP, EAP-MD5 сложно использовать из-за того, что он требует наличия сервера для выполнения проверки подлинности и хранения паролей пользователей в доступной для обратимого шифрования форме.

EAP-TLS (EAP-Transport Level Security)

Протокол EAP-TLS, основанный на протоколе SSL (Secure Sockets Layer), обеспечивает безопасный обмен данными между приложениями. При использовании EAP-TLS взаимная аутентификации между PPP-клиентом и сервером проверка подлинности основана на использовании сертификатов. При взаимной проверке подлинности клиент, устанавливающий подключение, отправляет для проверки серверу аутентификации сертификат пользователя, а сервер отправляет клиенту сертификат компьютера.

Протокол EAP-TLS является самым надежным способом проверки подлинности и поддерживается удаленными клиентами под управлением ОС Windows XP иWindows 2000.

EAP-RADIUS

EAP-RADIUS – это не тип EAP, а способ передачи сообщений EAP любого типа EAP сервером проверки подлинности RADIUS-серверу для проверки подлинности. Сообщения EAP, пересылаемые между клиентом и сервером удаленного доступа, инкапсулируются и форматируются в виде сообщений RADIUS между сервером удаленного доступа и RADIUS-сервером. Сервер удаленного доступа выступает в роли посредника, передавая сообщения EAP между клиентом удаленного доступа и RADIUS-сервером. Вся обработка сообщений EAP выполняется клиентом удаленного доступа и RADIUS-сервером.

EAP-RADIUS применяется в системах, в которых в качестве поставщика службы проверки подлинности используется RADIUS. Преимущество EAP-RADIUS состоит в том, что типы EAP должны быть установлены только на RADIUS-сервере, а не на каждом сервере удаленного доступа.

Обычно при использовании EAP-RADIUS сервер удаленного доступа Windows 2000 настроен на проверку подлинности с помощью протокола EAP и RADIUS-сервера, выступающего в роли поставщика службы проверки подлинности. В процессе подключения клиент удаленного доступа согласовывает использование протокола EAP с сервером удаленного доступа. Когда клиент отправляет серверу удаленного доступа сообщение EAP, сервер удаленного доступа инкапсулирует это сообщение в виде сообщения RADIUS и отправляет его указанному RADIUS-серверу. RADIUS-сервер обрабатывает сообщение EAP и отправляет серверу удаленного доступа ответное сообщение EAP, инкапсулированное в виде сообщения RADIUS. Затем сервер удаленного доступа перенаправляет сообщение EAP клиенту удаленного доступа.

Взаимная проверка подлинности

Взаимная проверка подлинности достигается путем проверки подлинности обеих сторон подключения, выполняющих шифрованный обмен учетными данными. Для PPP-подключений возможно использование протоколов проверки подлинности EAP-TLS или MS-CHAP v2. В процессе взаимной проверки подлинности клиент удаленного доступа предоставляет свои учетные данные серверу удаленного доступа для проверки, и наоборот.

Сервер удаленного доступа может и не предоставлять доказательств своей подлинности клиенту удаленного доступа. Однако, в случае, если клиент удаленного доступа под управлением Windows 2000 использует MS-CHAP v2 или EAP-TLS в качестве единственного способа проверки подлинности, он будет требовать обязательного выполнения взаимной проверки подлинности. Если сервер удаленного доступа не отвечает на запрос проверки подлинности, клиент разрывает соединение.

Шифрование данных

Механизмы шифрования обеспечивают шифрование данных, передаваемых между клиентом и сервером удаленного доступа. С помощью этих механизмов шифруются только данные в канале между клиентом и сервером удаленного доступа. Если требуется обеспечить шифрование для конечных точек, используйте IPSec: после того, как подключение удаленного доступа установлено, IPSec обеспечивает канальное шифрование.

Шифрование данных подключения удаленного доступа основано на использовании секретных ключей шифрования, известных клиенту и серверу удаленного доступа. Ключ шифрования генерируется во время процесса проверки подлинности подключения. Сервер удаленного доступа может требовать обязательного использования шифрования данных. Если клиент удаленного доступа не может выполнить требуемое шифрование данных, попытка подключения отклоняется.

Существует две технологии шифрования данных подключений удаленного доступа:

Шифрование MPPE (Microsoft Point-to-Point Encryption)

Шифрование по методу MPPE использует алгоритм RSA (Rivest-Shamir-Adleman) и представляет собой поточный шифр (шифрование с открытым ключом) RC4 с 40-, 56- либо 128-разрядными ключами шифрования. MPPE поддерживается клиентами удаленного доступа на базе протокола PPP и VPN-клиентами и VPN-серверами удаленного доступа на базе протокола PPTP под управлением ОС Windows XP, Windows 2000, Windows NT 4.0, Windows Millennium Edition и Windows 98. Ключи шифрования MPPE генерируются в процессе проверки подлинности по протоколу MS-CHAP, MS-CHAP v2 или EAP-TLS.

Шифрование DES (Data Encryption Standard) и 3DES (Triple DES)

Шифрование DES и 3DES представляет собой блочный шифр (шифрование с закрытым ключом) с одним (DES) либо тремя (3DES) 56-разрядными ключами шифрования. Этот метод шифрования поддерживается VPN-клиентами и VPN-серверами на базе протокола L2TP/IPSec под управлением ОС Windows XP и Windows 2000. Ключи шифрования DES генерируются в процессе проверки подлинности по протоколу IPSec.

Код вызова

Код вызова (Caller-ID) может использоваться для проверки того, что входящий вызов поступил с определенного телефонного номера. Код вызова является одним из параметров свойств удаленного подключения учетной записи пользователя. Если код (ID) вызова входящего подключения, производимого определенным пользователем, не совпадает с указанным для этого пользователя кодом вызова, попытка подключения отклоняется.

Для использования функции Caller-ID необходимо, чтобы телефонные линии вызывающей и принимающей сторон, телефонная система и драйвер операционной системы Windows 2000 для оборудования удаленного доступа поддерживали эту функцию. Если для учетной записи пользователя задан код (ID) вызова входящего подключения, и он не передается вызывающим абонентом службе маршрутизации и удаленного доступа (Routing and Remote Access service), подключение отклоняется.

Функция Caller-ID разработана для повышения безопасности сетей с поддержкой дистанционных пользователей. Недостатком использования этой функции является то, что пользователь может производить подключение только с одной заранее определенной телефонной линии.

Блокировка учетной записи при удаленном доступе

Функция блокировки учетной записи при удаленном доступе используется для того, чтобы задать количество неудачных попыток подключения, не прошедших проверку подлинности, после которых пользователю будет отказано в удаленном доступе. Эта функция наиболее важна при работе с подключениями к виртуальной частной сети через Интернет. Злоумышленники могут попытаться получить доступ из Интернета к внутренней сети организации, отправляя учетные данные (имя пользователя и предполагаемый пароль) во время процесса проверки подлинности VPN-подключения. При атаке с подбором паролей по словарю злоумышленник посылает тысячи вариантов учетных данных, используя список паролей на основе распространенных слов или фраз. При использовании функции блокировки учетной записи при удаленном доступе такая атака будет пресечена после определенного числа неудачных попыток подключения.

Функция блокировки учетной записи не различает злоумышленников, пытающихся получить доступ к интрасети, и доверенных пользователей, которые просто забыли свой текущий пароль. Пользователи, которые забыли свой текущий пароль, обычно пытаются использовать старые пароли, которые они смогут вспомнить. Это может привести к блокировке их учетных записей.

Если Вы включите функцию блокировки учетной записи при удаленном доступе, злоумышленник может намеренно заблокировать учетную запись пользователя путем многократных попыток подключения с использованием этой учетной записи. Это приведет к тому, что доверенный пользователь не сможет подключиться.

Сетевой администратор может настроить два параметра функции блокировки учетной записи при удаленном доступе:

1.

Число неудачных попыток подключения, после которого происходит блокировка.

После каждой неудачной попытки подключения увеличивается значение счетчика блокировки. Если это значение достигает заданного максимума, дальнейшие попытки подключения отклоняются.

Счетчик блокировки обнуляется после успешной проверки подлинности, если его значение не достигло заданного максимума.

2.

Периодичность сброса значений счетчика блокировки.

Вы должны периодически обнулять счетчик блокировки, чтобы предотвратить блокировку учетной записи из-за невнимательности пользователей при наборе паролей.

Функция блокировки учетной записи при удаленном доступе настраивается путем изменения параметров реестра Windows 2000 на компьютере, выполняющем проверку подлинности. Если сервер удаленного доступа использует для проверки подлинности встроенные службы Windows, измените параметры реестра на компьютере сервера удаленного доступа. Если сервер удаленного доступа использует для проверки подлинности RADIUS и службу IAS Windows 2000, измените параметры реестра на компьютере IAS-сервера. Для получения дополнительной информации обратитесь к справке Windows 2000 Server.

Примечание. Функция блокировки учетной записи при удаленном доступе не связана с параметром Заблокировать учетную запись (Account locked out) на вкладке Учетная запись (Account) свойств учетной записи пользователя, а также с администрированием политик блокировки учетной записи через групповые политики Windows 2000.

Фильтрация пакетов для VPN-подключений удаленного доступа

В случае удаленных подключений к виртуальной частной сети VPN-сервер может быть подключен либо к Интернету, либо к сегменту сети между Вашей сетью и Интернетом, называемому сетью периметра, также известному как демилитаризованная зона (Demilitarized zone, DMZ) или экранированная подсеть. В обеих конфигурациях VPN-сервер удаленного доступа оказывается уязвимым для атак из Интернета, которые могут производиться злоумышленниками. Чтобы запретить на VPN-сервере удаленного доступа весь трафик, кроме трафика PPTP или L2TP/IPSec, на интерфейсе подключения к Интернету или на интерфейсе сети периметра VPN-сервера настраиваются фильтры IP-пакетов для трафика PPTP или L2TP/IPSec.

Когда Вы запускаете мастер установки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard) и выбираете конфигурацию Сервер виртуальной частной сети (VPN) (Virtual private network (VPN) server), эти фильтры настраиваются автоматически. Для получения дополнительной информации обратитесь к разделу «Настройка сервера удаленного доступа Windows 2000» этого документа.

Фильтры пакетов в профиле политики удаленного доступа

Политика удаленного доступа, задающая ограничения для подключений и проверки подлинности, может использоваться для настройки фильтров IP-пакетов, которые будут применяться к подключениям удаленного доступа. После того, как подключение принято, фильтры пакетов определяют типы IP-трафика, которые может передавать и принимать клиент удаленного доступа.

Эта функциональная возможность может использоваться для подключений к экстрасети. Экстрасеть – это часть сети организации, доступная пользователям за пределами этой организации (например, деловые партнеры и поставщики). Используя фильтрацию пакетов, настраиваемую в профиле политики удаленного доступа, Вы можете создать политику удаленного доступа, которая позволяет членам группы Партнеры получать доступ к веб-серверам только с определенных IP-адресов или же только из определенной подсети.

Наверх страницы



Настройка сервера удаленного доступа Windows 2000

Настройка сервера удаленного доступа Windows 2000 довольно проста. Запустите мастер установки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard) и в диалоговом окне Общие параметры (Common Configurations) выберите конфигурацию Сервер удаленного доступа (Remote access server) или Сервер виртуальной частной сети (VPN) (Virtual private network (VPN) server).

Настройка сервера удаленного доступа

Если выбрана конфигурация Сервер удаленного доступа (Remote access server), компьютер работает в режиме сервера удаленного доступа, позволяя клиентам входить в сеть с удаленных компьютеров. Чтобы настроить сервер удаленного доступа Windows 2000 с помощью мастера установки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard), выполните следующее:

1.

В меню Пуск (Start) раскройте меню Программы (Programs), Администрирование (Administrative Tools) и запустите оснастку Маршрутизация и удаленный доступ (Routing and Remote Access).

2.

Правой кнопкой мыши щелкните на имени сервера и в контекстном меню выберите команду Настроить и включить маршрутизацию и удаленный доступ (Configure and Enable Routing and Remote Access).

3.

В диалоговом окне приветствия мастера установки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard) нажмите кнопку Далее (Next).

4.

В диалоговом окне Общие параметры (Common Configurations) выберите конфигурацию Сервер удаленного доступа (Remote access server) и нажмите кнопку Далее (Next).

5.

В диалоговом окне Протоколы удаленных клиентов (Remote Client Protocols) проверьте, что в списке присутствуют все протоколы, требуемые для работы удаленных клиентов, и нажмите кнопку Далее (Next).

6.

В диалоговом окне Выбор сетевого соединения (Network Selection) выберите сетевой адаптер, подключенный к интрасети, и нажмите кнопку Далее (Next). Диалоговое окно Выбор сетевого соединения (Network Selection) появится лишь в том случае, если на сервере установлено несколько сетевых адаптеров.

7.

В диалоговом окне Назначение IP-адресов (IP Address Assignment) выберите значение Автоматически (Automatic), если сервер удаленного доступа должен использовать DHCP для назначения адресов удаленным клиентам. В противном случае выберите значение Из заданного диапазона адресов (From a specified range of addresses) и введите один или несколько статических диапазонов адресов. Нажмите кнопку Далее (Next).

8.

Если Вы не используете RADIUS для проверки подлинности и авторизации, в диалоговом окне Управление несколькими серверами удаленного доступа (Managing Multiple Remote Access Servers) выберите значение Heт, не настраивать данный сервер для работы c RADIUS-сервером (No, I don't want to set up this server to use RADIUS now) и нажмите кнопку Далее (Next). В противном случае выберите значение Да, использовать RADIUS-сервер (Yes, I want to use a RADIUS server) и нажмите кнопку Далее (Next). В диалоговом окне Выбор RADIUS-сервера (RADIUS Server Selection) укажите основной (обязательный) и дополнительный (необязательный) RADIUS-серверы и задайте общий секрет (пароль). Нажмите кнопку Далее (Next).

9.

В диалоговом окне завершения работы мастера установки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard) нажмите кнопку Готово (Finish).

10.

Запустите службу маршрутизации и удаленного доступа (Routing and Remote Access service), когда появится приглашение.

Настройка сервера виртуальной частной сети (VPN)

Если выбрана конфигурация Сервер виртуальной частной сети (VPN) (Virtual private network (VPN) server), компьютер работает в режиме VPN-сервера, поддерживающего как подключения удаленного доступа, так и VPN-подключения «маршрутизатор-маршрутизатор». Чтобы настроить VPN-сервер Windows 2000 с помощью мастера установки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard), выполните следующее:

1.

В меню Пуск (Start) раскройте меню Программы (Programs), Администрирование (Administrative Tools) и запустите оснастку Маршрутизация и удаленный доступ (Routing and Remote Access).

2.

Правой кнопкой мыши щелкните на имени сервера и в контекстном меню выберите команду Настроить и включить маршрутизацию и удаленный доступ (Configure and Enable Routing and Remote Access).

3.

В диалоговом окне приветствия мастера установки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard) нажмите кнопку Далее (Next).

4.

В диалоговом окне Общие параметры (Common Configurations) выберите конфигурацию Сервер виртуальной частной сети (VPN) (Virtual private network (VPN) server) и нажмите кнопку Далее (Next).

5.

В диалоговом окне Протоколы удаленных клиентов (Remote Client Protocols) проверьте, что в списке присутствуют все протоколы, требуемые для работы удаленных клиентов, и нажмите кнопку Далее (Next).

6.

В диалоговом окне Подключение к Интернету (Internet Connection) выберите сетевой адаптер, подключенный к Интернету или сети периметра, и нажмите кнопку Далее (Next). Диалоговое окно Подключение к Интернету (Internet Connection) появится лишь в том случае, если на сервере установлено несколько сетевых адаптеров.

7.

В диалоговом окне Выбор сетевого соединения (Network Selection) выберите сетевой адаптер, подключенный к интрасети, и нажмите кнопку Далее (Next). Диалоговое окно Выбор сетевого соединения (Network Selection) появится лишь в том случае, если на сервере установлено более двух сетевых адаптеров.

8.

В диалоговом окне Назначение IP-адресов (IP Address Assignment) выберите значение Автоматически (Automatic), если сервер удаленного доступа должен использовать DHCP для назначения адресов удаленным клиентам. В противном случае выберите значение Из заданного диапазона адресов (From a specified range of addresses) и введите один или несколько статических диапазонов адресов. Нажмите кнопку Далее (Next).

9.

Если Вы не используете RADIUS для проверки подлинности и авторизации, в диалоговом окне Управление несколькими серверами удаленного доступа (Managing Multiple Remote Access Servers) выберите значение Heт, не настраивать данный сервер для работы c RADIUS-сервером (No, I don't want to set up this server to use RADIUS now) и нажмите кнопку Далее (Next). В противном случае выберите значение Да, использовать RADIUS-сервер (Yes, I want to use a RADIUS server) и нажмите кнопку Далее (Next). В диалоговом окне Выбор RADIUS-сервера (RADIUS Server Selection) укажите основной (обязательный) и дополнительный (необязательный) RADIUS-серверы и задайте общий секрет (пароль). Нажмите кнопку Далее (Next).

10.

В диалоговом окне завершения работы мастера установки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard) нажмите кнопку Готово (Finish).

11.

Запустите службу маршрутизации и удаленного доступа (Routing and Remote Access service), когда появится приглашение.

Наверх страницы

Настройка клиента удаленного доступа Windows XP

Вы можете настроить клиенты удаленного доступа или клиентов подключения к виртуальной частной сети (VPN) Windows XP вручную или с помощью диспетчера подключений (Connection Manager).

Ручная настройка подключения удаленного доступа

Если у Вас имеется небольшое число клиентов удаленного доступа, Вы можете вручную настроить подключения удаленного доступа для каждого из них. Чтобы создать подключение удаленного доступа для клиентов Windows XP, выполните следующее:

1.

На рабочем столе Windows XP нажмите кнопку Пуск (Start) и в панели управления откройте папку Сетевые подключения (Network Connections).

2.

В меню Сетевые задачи (Network Tasks) выберите задачу Создание нового подключения (Create a new connection) и нажмите кнопку Далее (Next).

3.

Выберите опцию Подключить к сети на рабочем месте (Connect to the network at my workplace) и нажмите кнопку Далее (Next).

4.

Выберите тип подключения Подключение удаленного доступа (Dial-up connection) и нажмите кнопку Далее (Next).

5.

Введите имя для подключения удаленного доступа и нажмите кнопку Далее (Next).

6.

Введите номер телефона, который будет использоваться модемом для подключения, и нажмите кнопку Далее (Next).

7.

Если Вы хотите сделать подключение доступным для всех пользователей компьютера, установите переключатель в положение Для всех пользователей этого компьютера (Anyone's use), в противном случае установите переключатель в положение Только для меня (My use only). Нажмите кнопку Далее (Next). Выбор этих значений доступен, только если компьютер под управлением Windows XP является членом домена.

8.

Если Вы хотите создать ярлык для этого подключения на рабочем столе, установите флажок Добавить ярлык подключения на рабочий стол (Add a shortcut to my desktop). Нажмите кнопку Готово (Finish).

9.

В диалоговом окне Подключение к (Connect) введите имя пользователя и пароль, которые будут передаваться в качестве Ваших учетных данных безопасности при установлении подключения. Если Вы не хотите вводить пароль каждый раз при установлении подключения, установите флажок Сохранять имя пользователя и пароль (Save this user name and password for the following users).

10.

Для установления подключения удаленного доступа нажмите кнопку Вызов (Connect).

Чтобы создать подключение удаленного доступа на компьютере под управлением ОС Windows 2000, дважды щелкните на значке Создание нового подключения (Make New Connection) в папке Сеть и удаленный доступ к сети (Network Connections) и выберите тип подключения Телефонное подключение к частной сети (Dial to private network).

Ручная настройка подключения к виртуальной частной сети

Если у Вас имеется небольшое число клиентов виртуальной частной сети, Вы можете вручную настроить VPN-подключения для каждого из них. Чтобы создать VPN-подключение для клиентов Windows XP, выполните следующее:

1.

На рабочем столе Windows XP нажмите кнопку Пуск (Start) и в панели управления откройте папку Сетевые подключения (Network Connections).

2.

В меню Сетевые задачи (Network Tasks) выберите задачу Создание нового подключения (Create a new connection) и нажмите кнопку Далее (Next).

3.

Выберите опцию Подключить к сети на рабочем месте (Connect to the network at my workplace) и нажмите кнопку Далее (Next).

4.

Выберите тип подключения Подключение к виртуальной частной сети (Virtual Private Network connection) и нажмите кнопку Далее (Next).

5.

Введите имя для подключения удаленного доступа и нажмите кнопку Далее (Next).

6.

Установите переключатель в положение Набрать номер для следующего предварительного подключения (Automatically dial this initial connection) и выберите нужное подключение, с помощью которого компьютер подключается к Интернету. Если Ваш компьютер уже подключен к Интернету через DSL, кабельный модем или сетевое подключение другого типа, установите переключатель в положение Не набирать номер для предварительного подключения (Do not dial the initial connection). Нажмите кнопку Далее (Next).

7.

Укажите имя или IP-адрес VPN-сервера (например, «vpn.example.microsoft.com») и нажмите кнопку Далее (Next).

8.

Если Вы хотите сделать подключение доступным для всех пользователей компьютера, установите переключатель в положение Для всех пользователей этого компьютера (Anyone's use), в противном случае установите переключатель в положение Только для меня (My use only). Нажмите кнопку Далее (Next). Выбор этих значений доступен, только если компьютер под управлением Windows XP является членом домена.

9.

Если Вы хотите создать ярлык для этого подключения на рабочем столе, установите флажок Добавить ярлык подключения на рабочий стол (Add a shortcut to my desktop). Нажмите кнопку Готово (Finish).

10.

В диалоговом окне Подключение к (Connect) введите имя пользователя и пароль, которые будут передаваться в качестве Ваших учетных данных безопасности при установлении подключения. Если Вы не хотите вводить пароль каждый раз при установлении подключения, установите флажок Сохранять имя пользователя и пароль (Save this user name and password for the following users).

11.

Для установления VPN-подключения нажмите кнопку Подключение (Connect).

Чтобы создать VPN-подключение на компьютере под управлением ОС Windows 2000, дважды щелкните на значке Создание нового подключения (Make New Connection) в папке Сеть и удаленный доступ к сети (Network Connections) и выберите тип подключения Подключение к виртуальной частной сети через Интернет (Connect to a private network through the Internet).

Наверх страницы



Диспетчер подключений и управление подключениями удаленного доступа

В конфигурациях с удаленным доступом каждый клиент должен быть настроен для подключения к используемым серверам. В небольших организациях с несколькими клиентскими компьютерами каждый из них может быть настроен вручную. При развертывании подключений удаленного доступа на предприятиях с сотнями и тысячами клиентов, возникают следующие проблемы:

Процедура настройки подключения удаленного доступа или VPN-подключения различается в зависимости от версии операционной системы Windows, установленной на компьютере клиента.

Для предотвращения ошибок конфигурирования предпочтительно, чтобы настройку подключений удаленного доступа или VPN-подключений выполнял ИТ-персонал, а не конечные пользователи.

Для наиболее эффективного использования ресурсов ИТ-персонала должны использоваться методы, позволяющие производить настройку на сотнях и тысячах клиентских компьютеров.

Для VPN-подключений может потребоваться конфигурация с использованием двойного подключения – сначала пользователь должен подключиться к Интернету через подключение удаленного доступа, а затем уже создавать VPN-подключение к интрасети организации.

Еще больше проблем возникает, когда организацией и поддержкой удаленного или VPN-доступа к ресурсам организации занимается сторонний поставщик услуг Интернета или служб удаленного доступа. В этом случае для доступа к Интернету или к интрасети организации может использоваться не один простой телефонный номер (такой как номер бесплатного телефона). В организации, которая пользуется услугами удаленного доступа, предоставляемыми сторонними поставщиками, и имеет несколько удаленных филиалов, могут использоваться несколько местных телефонных номеров в зависимости от физического местонахождения сотрудников. Ряд компаний использует преимущества подключения к Интернету через Интернет-провайдера, создавая публичные точки доступа к своим ресурсам. Это дает пользователям возможность локально подключаться к Интернету и затем устанавливать VPN-подключения к интрасети своей организации.

Диспетчер подключений (Connection Manager, CM) является средством решения проблем, связанных с настройкой удаленных или VPN-подключений на предприятиях, а также с использованием услуг доступа, предоставляемых сторонними организациями. Диспетчер подключений – это набор компонентов в составе Windows 2000 Server, в число которых входят:

Клиентская программа набора номера и установки подключения

Пакет администрирования диспетчера подключений

Службы точек подключений

Клиентская программа набора номера и установки подключения

Клиентская программа набора номера и установки подключения (Connection Manager client dialer) – это программа, устанавливаемая на компьютер каждого клиента удаленного доступа, включающая в себя дополнительные возможности и являющаяся универсальным и в то же время простым средством для работы с удаленными подключениями. Программа имеет ограниченное число доступных для изменения настроек, обеспечивая успешное подключения пользователя. С помощью клиентской программы набора номера можно выполнять следующие действия:

Выбирать телефонный номер из списка номеров для использования в зависимости от физического местонахождения.

Использовать определенные пользователем рисунки, значки, сообщения и справку.

Автоматически создавать подключение удаленного доступа перед тем, как произвести VPN-подключение.

Выполнять определенные пользователем действия на различных стадиях процесса подключения (например, перед тем, как будет установлено удаленное или VPN-подключение, или после того).

Настраиваемый модуль диспетчера подключений (называемый профилем) – это самораспаковывающийся исполняемый файл, который создается сетевым администратором с помощью пакета администрирования диспетчера подключений (Connection Manager Administration Kit, CMAK). Профиль диспетчера подключений передается пользователю на компакт-диске, по электронной почте, через веб-узел или общий файловый ресурс. Когда пользователь запускает профиль, происходит автоматическая настройка соответствующих подключений удаленного доступа и VPN-подключений. Профиль диспетчера подключений не требует наличия определенной версии операционной системы – он обеспечивает настройку подключений на компьютерах под управлением Windows XP, Windows 2000, Windows NT 4.0, Windows Millennium Edition и Windows 98.

Пакет администрирования диспетчера подключений

Пакет администрирования диспетчера подключений (Connection Manager Administration Kit, CMAK) является дополнительным инструментом управления. Установка CMAK может производиться двумя способами:

С помощью элемента панели управления Установка и удаление программ (Add/Remove Programs) на компьютере под управлением Windows 2000 Server. В списке компонентов Windows необходимо выбрать элемент Компоненты диспетчера подключений (Connection Manager Components) в составе категории Средства управления и наблюдения (Management and Monitoring Tools).

Путем установки средств администрирования Windows 2000 (Windows 2000 Administration Tools) на компьютере под управлением Windows 2000. Для этого необходимо запустить файл Adminpak.msi, находящийся в папке I386 на установочном диске Windows 2000 Server. После установки средств администрирования Windows 2000 Вы можете запустить пакет администрирования диспетчера подключений из папки Администрирование (Administrative Tools).

Пакет администрирования диспетчера подключений поможет Вам пройти все этапы настройки различных параметров профиля диспетчера подключений, а также создать профиль для дальнейшей передачи пользователям, выполняющим удаленные и VPN-подключения.

Службы точек подключений

Службы точек подключений (Connection Point Services, CPS) позволяют Вам создавать, распространять и производить обновления пользовательских телефонных книг. Телефонные книги содержат одну или более записей о точках присутствия (Point of Presence, POP), каждая из которых содержит телефонный номер, использующийся для доступа к удаленной сети или к Интернету. Телефонные книги предоставляют пользователям полную информацию о точках присутствия. Благодаря этому, при поездках пользователи могут подключаться к различным корпоративным или общедоступным точкам доступа в зависимости от своего местонахождения, избавляясь от необходимости использовать бесплатные местные или платные номера телефонов.

Возможность обновления телефонных книг позволяет пользователям избавиться не только от звонков в службу поддержки (для получения информации о точках присутствия), но и от постоянной перенастройки клиентского программного обеспечения.

В состав службы точек подключений входят:

1.

Администратор телефонной книги – инструмент для создания и ведения базы данных телефонных книг. С помощью этой программы Вы можете также публиковать новые телефонные книги и изменения в них на сервере службы телефонной книги.

2.

Сервер службы телефонной книги – компьютер под управлением Windows 2000 Server с запущенными службами Microsoft Internet Information Services (IIS) (включая службу FTP-публикации) и установленными расширениями ISAPI (Internet Server Application Programming Interface – интерфейс прикладного программирования для серверных приложений IIS), обрабатывающий запросы на обновление телефонных книг, поступающие от клиентов диспетчера подключений.

Для установки программы администратора телефонной книги (Phone Book Administrator, PBA) необходимо запустить файл Pbainst.exe из папки VALUEADD\MSFT\MGMT\PBA, находящейся на установочном диске ОС Windows 2000 Server или Windows 2000 Professional. После того, как PBA установлен, он может быть запущен из папки Администрирование (Administrative Tools). PBA не обязательно должен запускаться на сервере службы телефонной книги.

С помощью программы PBA Вы можете создавать записи в телефонных книгах и регионы и публиковать их в папке СистемныйКорневойКаталог\Program Files\Phone Book Service\Data\ИмяТелефоннойКниги на сервере службы телефонной книги.

После того, как телефонная книга опубликована, с помощью пакета администрирования диспетчера подключений (CMAK) создается профиль диспетчера подключений. В профиле задаются следующие настройки:

В качестве стандартного действия, выполняемого после подключения, выбирается действие Автозагрузка обновлений телефонной книги (Automatically download phone book updates) (в диалоговом окне Действия, выполняемые после подключения к службе (Post-Connect Actions) мастера CMAK).

Имя файла телефонной книги (в диалоговом окне Телефонная книга (Phone Book) мастера CMAK).

Имена файла телефонной книги и сервера службы телефонной книги (в диалоговом окне Обновления телефонной книги (Phone-Book Updates) мастера CMAK).

Развертывание диспетчера подключений для управления подключениями удаленного доступа

Для развертывания диспетчера подключений (Connection Manager) в ОС Windows 2000 выполните следующие основные шаги:

1.

Выделите компьютер под управлением Windows 2000 Server с запущенными службами IIS (включая службу FTP-публикации) для работы в качестве сервера службы телефонной книги. Этим компьютером может являться существующий IIS-сервер или компьютер начального уровня, специально выделенный для этих целей.

2.

Установите компоненты диспетчера подключений (Connection Manager Components) на сервере службы телефонной книги.

3.

Установите программу администратора телефонной книги (Phone Book Administrator) на компьютере под управлением ОС Windows 2000 Server или Windows 2000 Professional.

4.

Настройте телефонную книгу с помощью PBA.

5.

Опубликуйте телефонную книгу на сервере службы телефонной книги с помощью PBA.

6.

Установите пакет администрирования диспетчера подключений (CMAK), с помощью которого будут создаваться профили диспетчера подключений, на компьютере под управлением ОС Windows 2000 Server или Windows 2000 Professional. С помощью CMAK создайте профиль диспетчера подключений, указав соответствующий файл телефонной книги и настроив необходимые параметры для обновления телефонных книг.

7.

Разошлите созданный профиль диспетчера подключений всем пользователям, которым необходимо выполнять удаленные или VPN-подключения.

Поставщики услуг Интернета также могут использовать диспетчер подключений, чтобы создавать конфигурации набора номера для своих клиентов. В эти конфигурации входит телефонная книга, содержащая все точки присутствия локального поставщика услуг.

Для получения дополнительной информации о диспетчере подключений обратитесь к разделу Прежде чем начать. Общие сведения о диспетчере подключений и о пакете администрирования (Before you start: Understanding Connection Manager and the Administration Kit) справки Windows 2000 Server.

Наверх страницы

Заключение

Система удаленного доступа – это логическое подключение компьютера клиента удаленного доступа к сети. Иногда этой сетью является сеть организации, иногда – Интернет. Для подключений удаленного доступа могут использоваться коммутируемые линии связи глобальных сетей (WAN) или сеть Интернет. В состав операционных систем корпорации Microsoft входят многофункциональные приложения клиентов и серверов удаленного доступа. Настройка клиента удаленного доступа выполняется из папки Мое сетевое окружение (Network Connections). Сервер удаленного доступа настраивается с помощью службы маршрутизации и удаленного доступа (Routing and Remote Access service). В состав операционной системы Windows 2000 Server входят компоненты диспетчера подключений (Connection Manager components), облегчающие масштабное развертывание клиентов удаленного доступа и позволяющие создавать и распространять пользовательские конфигурации набора номера на компьютеры под управлением различных версий ОС Windows.

Наверх страницы

Связанные ресурсы

Для получения дополнительной информации обратитесь к разделу Виртуальные частные сети (Virtual Private Networks), расположенному по адресу http://www.microsoft.com/vpn.

Для получения самой последней информации о Windows 2000 Server обратитесь к разделу Windows 2000 Server, расположенному по адресу http://www.microsoft.com/windows2000/server.

Для получения самой последней информации о Windows XP посетите веб-узел Windows XP.


Наверх страницы


Наверх страницы




Обсуждение статьи на форуме

Ссылка: http://www.oszone.net/4086/Microsoft_Remote_Access