18-配置Windows遠程訪問服務器

配置Windows遠程訪問服務器第三章Chapter內(nèi)容回顧理解DNS服務的作用和工作過程掌握配置和管理DNS服務器的方法掌握WINS服務的配置2/28本章目標了解遠程訪問的作用和意義掌握遠程訪問服務器的配置方法遠程訪問策略的實施遠程訪問策略的應用規(guī)則能夠使用遠程訪問策略限制用戶的接入遠程客戶端的IP分配策略3/28遠程訪問服務概述遠程訪問服務（RAS）提供了兩種連接:撥號連接虛擬專用連接RAS提供了強有力的安全機制安全用戶驗證相互驗證數(shù)據(jù)加密回撥呼叫方ID內(nèi)部網(wǎng)絡RAS服務器公共網(wǎng)絡撥號用戶VPN用戶VPN撥號連接虛擬專用連接好像客戶機直接連接在局域網(wǎng)上一樣

4/28遠程訪問的組成遠程訪問服務器遠程訪問客戶機撥號設備以及WAN結(jié)構(gòu)

PSTNISDN其他連接方式

遠程訪問協(xié)議

PPPSLIPMicrosoftRAS內(nèi)部網(wǎng)絡RAS服務器PSTN調(diào)制解調(diào)器調(diào)制解調(diào)器ISDNPointtoPointProtocol一組允許來自不同供應商的遠程訪問軟件互相兼容、提供最佳安全性能的工業(yè)標準協(xié)議微軟專用的遠程訪問協(xié)議，支持NetBIOSSerialLineInternetProtocol比較老的遠程訪問協(xié)議，主要是UNIX遠程訪問服務器使用5/28遠程訪問的組成(Cont.)LAN協(xié)議TCP/IPIPX（用于Netware網(wǎng)絡）AppleTalk（MAC機所用的一種網(wǎng)絡協(xié)議）6/28公共網(wǎng)絡RAS服務器撥號用戶遠程訪問的組成(Cont.)LAN協(xié)議封裝的數(shù)據(jù)遠程訪問協(xié)議封裝7/28VPN家庭辦公InternetVPN通道深圳分公司北京總公司VPN服務器在公網(wǎng)上為兩個局域網(wǎng)開辟一條安全的數(shù)據(jù)傳輸隧道

節(jié)約成本，提高了安全性8/28VPN(Cont.)VPN封裝協(xié)議PPTPL2TPIP數(shù)據(jù)報IPX數(shù)據(jù)報NetBEUI幀加密的PPP有效載荷PPP頭GRE頭IP頭數(shù)據(jù)鏈路頭數(shù)據(jù)鏈路尾IP數(shù)據(jù)報IPX數(shù)據(jù)報NetBEUI幀PPP載荷PPP頭L2TP頭UDP頭IPSecESP頭IP頭數(shù)據(jù)鏈路頭數(shù)據(jù)鏈路尾IPSecESP尾IPSecESP驗證尾被加密被IPSecESP驗證尾所驗證9/28配置遠程訪問服務激活路由和遠程訪問服務配置遠程訪問服務器配置客戶機撥號訪問配置VPNServer及VPN客戶機配置IP地址分配方案10/28激活路由和遠程訪問服務1234567891011121314路由和遠程訪問服務已被激活11/28配置遠程訪問服務器添加RAS服務器配置RAS服務器的屬性常規(guī)安全IPPPP日志管理用戶撥入屬性管理服務端口

12/28配置客戶機撥號訪問12345678910111213/28配置VPNServer與撥號訪問服務器的配置類似選擇與本地網(wǎng)絡相連的網(wǎng)絡接口選擇與Internet相連的網(wǎng)絡接口余下的步驟與撥號訪問服務的配置類似14/2812配置VPN客戶機15/28配置VPN客戶機(Cont.)34567891016/28配置IP地址分配方案DHCP使用靜態(tài)地址池NetshrasIpshowconfig

起始IP結(jié)束IP17/28遠程訪問策略遠程訪問策略的組成條件配置文件遠程訪問權(quán)限遠程訪問策略的應用規(guī)則18/28遠程訪問策略的組成策略條件配置文件遠程訪問權(quán)限遠程訪問策略的三個組成19/28策略條件策略條件添加策略條件對編輯策略條件限制用戶的連接時間和日期添加選中的條件20/28配置文件撥入限制IP身份驗證多重鏈接加密21/28遠程訪問策略的應用規(guī)則是否有策略處理開始連接嘗試是否符合策略條件處理下一策略檢查Ignore-User-Dialin-Properties屬性屬性值是否為False遠程訪問策略是否被設置為“拒絕遠程訪問權(quán)限”用戶帳戶上是否被設置為“拒絕訪問”用戶帳戶上是否被設置為“允許訪問”連接嘗試是否同時符合用戶帳戶和配置文件的設置拒絕連接請求接受連接嘗試拒絕連接嘗試是是是是是是否否否否否否否是22/28本章總結(jié)遠程訪問服務允許客戶機通過撥號連接或虛擬專用連接登錄到網(wǎng)絡，使用共享的網(wǎng)絡資源WindowsServer2003可以配置成RAS撥號服務器，以便客戶機訪問局域網(wǎng)的網(wǎng)絡資源RAS服務器與客戶機之間可以建立不同類型的撥號連接，如公共交換電話網(wǎng)、綜合業(yè)務數(shù)字網(wǎng)或者直接電纜連接等23/28總結(jié)(Cont.)VPN就是基于公共網(wǎng)絡，如Internet，在兩個或兩個以上的局域網(wǎng)之間創(chuàng)建傳輸數(shù)據(jù)的網(wǎng)絡隧道VPN技術(shù)在減少企業(yè)費用負擔、實現(xiàn)安全可靠的電子商務、簡化網(wǎng)絡拓撲結(jié)構(gòu)及管理方面有著很大的優(yōu)勢在安裝WindowsServer2003服務器時，遠程訪問的組件就已經(jīng)自動安裝了。但是，它是處于停用狀態(tài)。所以在配置RAS之前，必須將其激活并配置24/28總結(jié)(Cont.)遠程訪問策略就是確定遠程用戶如何撥入和訪問網(wǎng)絡的方式。它為Windows網(wǎng)絡提供了強有力的安全措施通過定義允許或拒絕連接的規(guī)則，來授予或限制遠程用戶訪問網(wǎng)絡資源的權(quán)限25/28實驗目標通過完成這個實驗內(nèi)容，您將能夠：配置企業(yè)遠程訪問服務器創(chuàng)建客戶端遠程訪問連接配置遠程訪問策略26/28實驗拓撲結(jié)構(gòu)本地網(wǎng)絡RA