Установка и администрирование служб маршрутизации и удаленного доступа. [Занятие 14]
Развертывание и администрирование сети с выделенным сервером на базе Windows Server 2003 на Thursday 23 November 2006 от в Сетевые Операционные Системы ОС > ОС Windows
Общие сведения об удаленном доступе.
Система удаленного доступа Windows Server 2003, являющаяся частью службы маршрутизации и удаленного доступа, служит для подключения удаленных или мобильных пользователей к локальной сети. Удаленные пользователи могут работать так же, как если бы их компьютеры были физически подключены к сети.
Пользователи с помощью средств удаленного доступа инициируют подключение к серверу удаленного доступа. Сервер удаленного доступа, функции которого выполняет компьютер с Windows Server 2003 и работающей на нем службой маршрутизации и удаленного доступа, осуществляет проверку подлинности и обеспечивает сеансы пользователей и служб, пока они не будут завершены пользователем или сетевым администратором. Все основные службы, доступные пользователям локальной сети (включая общий доступ к файлам и принтерам, доступ к веб-серверам и службы сообщений), поддерживаются средствами удаленного доступа.
Клиенты удаленного доступа также используют стандартные средства для доступа к ресурсам. Например, на компьютере с Windows Server 2003 клиенты могут подключаться к сетевым дискам и принтерам с помощью Проводника. Эти подключения постоянны: во время сеанса удаленного доступа пользователям не требуется повторно подключаться к сетевым ресурсам. Так как буквенные имена дисков и имена в формате UNC полностью поддерживаются средствами удаленного доступа, большинство коммерческих и специализированных приложений будет работать без каких-либо модификаций.
Сервер удаленного доступа под управлением Windows Server 2003 поддерживает два различных типа удаленных подключений:
Тип подключения
Описание
Удаленный доступ к сети
Клиент удаленного доступа создает временное подключение к физическому порту сервера удаленного доступа, используя один из возможных каналов связи. Лучшим примером удаленного доступа к сети является набор клиентом телефонного номера для связи с одним из портов сервера удаленного доступа.
Подключение удаленного доступа к сети по аналоговой телефонной линии или по линии ISDN - это прямое физическое подключение между удаленным клиентом и сервером удаленного доступа. Данные, передаваемые по этому подключению, можно шифровать, но это не обязательно.
Виртуальная частная сеть
Виртуальные частные сети (VPN) используют безопасные подключения "точка-точка" по частной сети или по общедоступной сети, такой как Интернет. Клиент виртуальной частной сети использует специальные протоколы на основе TCP/IP, называемые туннельными протоколами, для осуществления виртуального вызова виртуального порта VPN-сервера. Лучшим примером виртуальной частной сети является создание VPN-клиентом виртуального частного подключения к серверу удаленного доступа, подключенному к Интернету.
В отличие от подключения удаленного доступа к сети, виртуальная частная сеть - это всегда логическое, непрямое подключение между VPN-клиентом и VPN-сервером. Для обеспечения безопасности необходимо шифровать данные, передаваемые по такому подключению.
Сервер для удаленных подключений к сети.
Windows Server 2003 предоставляет традиционные службы удаленного доступа к сети для поддержки мобильных пользователей, которым требуется доступ к локальной сети организации. Оборудование для подключений удаленного доступа к сети, установленное на сервере удаленного доступа Windows Server 2003, отвечает на входящие запросы на подключение, отправляемые клиентами удаленного доступа к сети. Сервер удаленного доступа отвечает на вызов, выполняет проверку подлинности и авторизацию вызывающего и приступает к передаче данных между клиентом удаленного доступа к сети и интрасетью организации. Ниже показана работа системы удаленного доступа к сети.
Сервер виртуальной частной сети
Виртуальное частное подключение имитирует подключение "точка-точка". Для этого данные инкапсулируются (помещаются в оболочку) с дополнительным заголовком, содержащим информацию для маршрутизации к конечной точке. Конечной точкой может быть либо клиент виртуальной частной сети, либо сервер виртуальной частной сети.
Для создания виртуального частного подключения клиент виртуальной частной сети и сервер виртуальной частной сети должны поддерживать один и тот же туннельный протокол. Сервер удаленного доступа Windows Server 2003 является сервером виртуальной частной сети для протоколов PPTP и L2TP. Ниже показано функционирование виртуальной частной сети.
Новые возможности удаленного доступа в Windows Server 2003.
Система удаленного доступа Windows Server 2003 обладает следующими новыми возможностями:
Возможность
Описание
Интеграция с Active Directory
Сервер удаленного доступа на основе Windows Server 2003, являющийся частью домена Active Directory, может получать доступ к параметрам входящих звонков пользователей (таким как разрешение на удаленный доступ и параметры ответного вызова), хранящимся в каталоге.
Протокол MS-CHAP версии 2
Протокол проверки подлинности Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) версии 2 значительно усиливает безопасность при передаче учетных данных и генерации ключей шифрования во время установления удаленного подключения. Протокол MS-CHAP версии 2 был специально разработан для обеспечения безопасности виртуальных частных сетей.
Протокол EAP
Протокол расширенной проверки подлинности Extensible Authentication Protocol (EAP) позволяет использовать новые методы проверки подлинности при удаленных подключениях, что особенно важно для развертывания системы безопасности на основе смарт-карт. Протокол EAP является интерфейсом, который позволяет другим модулям проверки подлинности встраиваться в компоненты удаленного доступа Windows Server 2003, использующие протокол PPP. Windows Server 2003 поддерживает протоколы EAP-MD5 CHAP, EAP-TLS (используемый для проверки подлинности на основе смарт-карт и сертификатов), а также передачу сообщений EAP серверу RADIUS.
Протокол BAP
Протоколы BAP (Bandwidth Allocation Protocol) и BACP (Bandwidth Allocation Control Protocol) повышают эффективность многоканальных подключений по протоколу PPP, динамически подключая и отключая дополнительные каналы связи в соответствии с изменением трафика. BAP особенно важен в тех случаях, когда плата за подключение зависит от используемой полосы пропускания.
В Windows Server 2003 политика BAP определяется политикой удаленного доступа. Например, сетевой администратор может настроить систему таким образом, что дополнительная линия будет отключаться, если в течение 10 секунд она используется менее чем на 50 процентов. BAP обеспечивает очень эффективный механизм управления стоимостью подключения, динамически поддерживая оптимальную полосу пропускания.
Политика удаленного доступа
Политика удаленного доступа - это набор условий и параметров подключения, дающих сетевым администраторам большую гибкость в предоставлении разрешений на удаленный доступ в систему и задании параметров подключения.
Пользуясь политикой удаленного доступа, можно предоставлять разрешения на входящие подключения в определенные часы суток и дни недели, определенным группам или определенному типу запрашиваемых подключений (подключение удаленного доступа к сети или виртуальное частное подключение) и т. д. С помощью политики удаленного доступа задаются также такие параметры подключений, как максимальное время сеанса, тип проверки подлинности и шифрования, политика BAP и фильтрация пакетов IP.
Клиент RADIUS
Сервер удаленного доступа Windows Server 2003 может выступать в качестве клиента сервера RADIUS (Remote Authentication Dial-In User Service). Windows Server 2003 реализует функции сервера RADIUS с помощью службы проверки подлинности в Интернете (IAS). Сервер IAS обеспечивает функции централизованной проверки подлинности, авторизации и учета и является местом централизованной настройки политики удаленного доступа.
Протокол L2TP
В дополнение к протоколу PPTP (Point-to-Point Tunneling Protocol) в состав сервера удаленного доступа на основе Windows Server 2003 входит стандартный протокол L2TP (Layer Two Tunneling Protocol), который используется совместно со средствами IP-безопасности (IPSec) для создания защищенных виртуальных частных подключений.
Поддержка клиентов удаленного доступа Macintosh, использующих протокол AppleTalk
Система удаленного доступа Windows Server 2003 теперь поддерживает подключения удаленного доступа к сети клиентов удаленного доступа Apple Macintosh, использующих протокол AppleTalk с протоколом удаленного доступа PPP (Point-to-Point Protocol).
Поддержка многоадресной IP-рассылки
Используя протокол маршрутизации IGMP, сервер удаленного доступа может перенаправлять многоадресный IP-трафик между подключенными клиентами удаленного доступа и Интернетом или сетью организации.
Блокировка учетной записи
Блокировка учетной записи - это возможность системы безопасности, позволяющая запретить пользователю доступ к ресурсам после определенного числа неудачных попыток проверки подлинности. Блокировка учетной записи предназначена для того, чтобы исключить возможность несанкционированного доступа к ресурсам путем перебора учетных данных.
