1、Windows Server 2003 网络管理1第六章 配置远程访问一概述* 用户坐在公司局域网中的计算机上访问该局域网中的资源,没有任何问题。* 如果用户希望在另一个地点对公司局域网中的资源进行访问,则往往需要利用已有的广域网(如:PSTN 、ISDN 、 Internet)链路进行访问。* 从公司局域网的角度来看,把这个用户跨过广域网而对公司局域网所实施的访问称为“远程访问” (Remote Access) ;这个用户被称为“远程用户”(Remote User) ;他所使用的计算机被称为 “远程访问客户机” (Remote Access Client) 。* 为了对用户的远程访问提供支持
2、,需要在公司的局域网中选择一台具有静态IP 参数的 Win2003计算机,在它上面安装“远程访问服务” (Remote Access Serice,RAS) ,由它来提供对远程访问的支持。实际上,远程访问服务器是负责接受远程访问的接入平台。* 用户在执行远程访问时,首先必须跨过广域网与远程访问服务器建立起通信信道(这相当于从公司局域网中拉出一根网线把客户机连接到了局域网中);然后,由公司的局域网为其分配局域网中的一个有效IP地址(这相当于为该客户机分配了局域网中的一个有效IP地址) ;最后,用户提交一个在公司局域网中建立的具有“远程拨入”权利的用户帐号,并以该身份来访问公司局域网中的资源。这种
3、访问与该用户坐在公司局域网中的计算机上访问局域网中的资源完全一样(即:原来在局域网中能够访问什么资源,现在在远程访问客户机上也能访问到这些资源,没有区别) 。Windows Server 2003 网络管理2* 例如,一个用户在学校的校园网中的计算机上能够访问校园网内部的资源(如:图书馆中的电子期刊) 。现在,该用户希望在校外的家里也能访问校园网内部的资源,那么他可以通过广域网(如:PSTN、ISDN、Internet )先连接到学校的远程访问服务器上,当建立起通信信道后,由校园网的远程访问服务器为其分配校园网内部的IP地址,然后该用户便可以使用校园网为其分配的具有“远程拨入”权利的用户帐号,
4、来访问校园网中的资源,感觉上与其在校园网内部的计算机上访问校园网中的资源完全一样。二Win2003 支持的远程访问连接类型* Win2003版本的远程访问服务器支持客户机以两种方式建立远程访问连接:“拨号连接”和“VPN连接” 。1拨号连接* 当用户希望跨过PSTN、ISDN 、X.25网络进行远程访问时,必须建立拨号连接。* 缺点:成本高。2VPN连接(即:虚拟专有网络连接)* 如果希望降低远程访问的成本,可以考虑跨过Internet进行远程访问。* 当用户希望跨过Internet进行远程访问时,必须建立VPN连接。* 基于Internet的通信大大降低了通信的成本。* 但是,由于Inter
5、net是公共网络,因此安全问题必须重点考虑。* 为了在Internet上建立安全的通信信道,需要对通信的数据包进行更加严格的加密并且封装上身份验证信息和一致性校验信息。这样,在两个远程设备之间建立起点到点的、加密的、虚拟的通信信道,数据包在这条通信信道中传输时就像在一条安全的“隧道” (Tunnel)中流动。因此,这样的远程访问连接Windows Server 2003 网络管理3被称为“虚拟专有网络” (Virtual Private Network,VPN ) ,简称为“VPN连接” 。三远程访问使用的协议1远程访问协议* 负责在两台远程设备之间跨过广域网来建立、维护和管理远程访问连接的通
6、信信道。(1)SLIP协议(Serial Line Internet Protocol) * 是PPP的前身,使用较少。* 只支持TCP/IP数据包。* 不支持动态IP地址分配。* 不支持加密,密码明文传输。(2)PPP协议(Point to Point Protocol)* 在SLIP的基础上发展起来,使用非常广泛。* 支持TCP/IP、IPX/SPX、NetBEUI数据包。* 支持动态IP地址分配。* 支持加密。2LAN协议* 在使用远程访问协议建立起连接后,两个远程设备之间开始传输使用LAN协议封装的数据包。* 例如:TCP/IP、IPX/SPX、NetBEUI、AppleTalk。 3
7、VPN协议* 用于对VPN连接中数据进行保护。(1)PPTP(Point to Point Tunnel Protocol)Windows Server 2003 网络管理4* 只能在基于IP的网络(Internet)中使用。(2)L2TP(Layer 2 Tunnel Protocol)* 可以在基于IP的网络和非IP的网络(如:帧中继)中使用。* 比PPTP更安全。四安装远程访问服务器* 步骤:开始程序管理工具路由和远程访问右键单击服务器的名字单击“配置并启用路由和远程访问”在“配置”中点击“自定义配置”选中“远程访问(拨号或VPN) ”在“远程访问”中选中“拨号”和“VPN”在“VPN连
8、接”中选择一个连接到Internet上的网络接口清除“通过设置静态数据包筛选器来对选择的接口进行保护”在“网络选择”中选择一个希望被远程访问的内部网络在“IP地址指定”中选择“自动”在“管理多个远程访问服务器”中选择“否”按“完成” 。* 打开“路由和远程访问”管理控制台的步骤开始程序管理工具路由和远程访问。五什么是“端口”和“设备”?1端口(Port)* 用户为了实施远程访问,必须在远程访问客户机与远程访问服务器之间建立起点到点的通信信道。* 一条点到点的通信信道是在一个远程访问设备上的一个端口和另一个远程访问设备上的一个端口之间建立的。* 一个端口提供了一个点到点的通信信道。* 端口有不同
9、类型,不同类型的端口能够在不同的广域网上提供点到点的Windows Server 2003 网络管理5通信信道。例如:基于PSTN的端口能够在PSTN上提供点到点的通信信道;基于ISDN的端口能够在ISDN上提供点到点的通信信道;基于Internet的端口能够在Internet上提供点到点的通信信道。* 端口的数量决定了支持并发连接的数量。* 因此,远程访问服务器所提供的端口的类型以及每种类型的端口的数量,决定了该服务器支持远程访问的能力。即:所提供的端口的类型越丰富、每种端口的数量越多,则该服务器支持远程访问的能力也越强。* 查看端口的步骤:在“路由和远程访问”管理控制台中点击远程访问服务器
10、的名字点击“端口” 。2设备(Device)* 端口是由设备提供的。* 所谓“设备” ,是指能够提供各种远程访问端口的硬件或软件。 * 为了获得端口,首先必须安装设备。* 设备可以是物理的,如:Modem;也可以是逻辑的,如:VPN协议。* 如果一个设备只能提供一个端口,则被称为“单端口设备” 。如:Modem。* 如果一个设备能够提供多个端口,则被称为“多端口设备” 。如:ISDN卡、PPTP、L2TP。* 查看设备的步骤:在“路由和远程访问”管理控制台中点击远程访问服务器的名字右键点击“端口”属性。六配置远程访问服务器以支持远程访问的步骤Windows Server 2003 网络管理6*
11、 无论配置拨号服务器还是VPN服务器,都遵循着以下相同的三个步骤。1安装设备* 通过安装设备,以获得端口。* 例如,为了提供可以在PSTN上建立通信信道的端口,必须安装Modem。2配置设备的端口数量* 端口的数量决定了能够支持并发连接的最大数量。* 例如,如果希望远程访问服务器最多能够支持100个客户端同时访问,那么需要提供100个端口。* 物理设备的端口数量一般不能更改(如:Modem) ,所以可以通过多安装物理设备以获得更多的端口。* 逻辑设备的端口数量可以更改(如:PPTP、L2TP) ,所以可以直接修改逻辑设备的端口数。3设置该设备被用于“RAS”* 虽然通过安装设备获得了端口,但是
12、并没有为这些端口所代表的通信信道赋予任何用途,此时无法使用这些端口。* 因此,需要把该设备配置为可用于“RAS” 。这意味着,该设备提供的所有端口代表的通信信道均可用于远程访问。七配置拨号连接* 为了使用户能够利用拨号连接的方式对公司局域网实施访问,需要分别配置拨号服务器和拨号客户机。* 这里主要介绍如何跨过PSTN建立拨号连接。 1配置拨号服务器* 为了配置拨号服务器,需要遵循前面介绍的三个步骤。Windows Server 2003 网络管理7(1)安装设备* 为了提供基于PSTN的端口,必须在远程访问服务器上安装Modem。* 安装Modem的步骤开始设置控制面板双击“电话和调制解调器”
13、在“位置信息”中“您的区号(或城市号)是什么?”中输入一个区号(如:010)选择“调制解调器”标题卡点击“添加”选中“不要检测我的调制解调器;我将从列表中选择”选择“厂商”和“型号”在“安装在哪个端口”中选择某个端口按“完成” 。(2)配置设备的端口数量* 步骤在“路由和远程访问”管理控制台中点击远程访问服务器的名字右键点击“端口”属性在“设备”标题卡中双击某个设备在“最多端口数”中输入希望提供的端口数量按“确定” 。* 物理设备的端口数量不能更改。(3)设置该设备被用于“RAS”* 步骤在“路由和远程访问”管理控制台中点击远程访问服务器的名字右键点击“端口”属性在“设备”标题卡中双击某个设备
14、选中“远程访问连接(仅入站) ”按“确定” 。此时,在“设备”标题卡中该设备的“使用”栏中将会显示“RAS” 。2配置拨号客户机(1)安装设备* 为了提供基于PSTN的端口,必须在远程访问客户机上安装Modem。Windows Server 2003 网络管理8(2)建立“拨号出站连接”工具* 用户在拨号客户机上需要使用“拨号出站连接”工具连接到拨号服务器上。* 步骤:右键单击“网上邻居”属性在“网络连接”中双击“新建连接向导”选择“连接到我的工作场所的网络”选中“拨号连接”在“公司名”中输入希望访问的目标地点的名称在“电话号码”中输入服务器的电话号码在“可用连接”中选择“任何人使用” (如果
15、希望任何人都可用该工具)或“只是我使用” (如果只希望本人使用该工具)按“完成” 。此时,在“网络连接”中会出现该“拨号出站连接”的图标。(3)与拨号服务器建立拨号连接* 用户坐在拨号客户机上,使用“拨号出站连接”工具与拨号服务器建立连接。* 步骤:右键单击“网上邻居”属性在“网络连接”中双击某个拨号出站连接在“用户名”和“密码”中输入拨号服务器所在的局域网中的一个具有“拨入权限”的用户帐号及其密码点击“拨号” 。八配置VPN连接* 为了使用户能够利用VPN连接的方式对公司局域网实施访问,需要分别配置VPN服务器和VPN客户机。* 这里主要介绍如何跨过Internet建立VPN连接。 1配置V
16、PN服务器* 为了配置VPN服务器,需要遵循前面介绍的三个步骤。Windows Server 2003 网络管理9(1)安装设备* 为了提供基于Internet的端口,必须在远程访问服务器上安装VPN设备。* VPN设备是逻辑设备,有:PPTP和L2TP。* VPN设备已经被安装了,无需手工安装。(2)配置设备的端口数量* 步骤:在“路由和远程访问”管理控制台中点击远程访问服务器的名字右键点击“端口”属性在“设备”标题卡中双击某个VPN设备(如:PPTP)在“最多端口数”中输入希望提供的端口数量按“确定” 。* 逻辑设备的端口数量可以更改。(3)设置该设备被用于“RAS”* 步骤:在“路由和远
17、程访问”管理控制台中点击远程访问服务器的名字右键点击“端口”属性在“设备”标题卡中双击某个VPN设备(如:PPTP)选中“远程访问连接(仅入站) ”按“确定” 。此时,在“设备”标题卡中该VPN设备的“使用”栏中将会显示“RAS”。2配置VPN客户机* 为了与VPN服务器建立起远程访问连接,VPN客户机必须要连接到Internet。* 用户在VPN客户机上需要使用“VPN出站连接”工具连接到VPN服务器上。* 在客户机上建立“VPN出站连接”工具时,有以下两种情况:(1)客户机已在Internet上Windows Server 2003 网络管理10 建立“VPN出站连接”的步骤:右键单击“网
18、上邻居”属性在“网络连接”中双击“新建连接向导”选择“连接到我的工作场所的网络”选中“虚拟专用网络连接”在“公司名”中输入希望访问的目标地点的名称选择“不拨初始连接”在“主机名或IP地址”中输入VPN服务器在Internet上的IP地址选择“任何人使用” (如果希望任何人都可用该工具)或“只是我使用” (如果只希望本人使用该工具)按“完成” 。此时,在“网络连接”中会出现该“VPN出站连接”的图标。 与VPN服务器建立VPN连接* 用户坐在VPN客户机上,使用“VPN出站连接”工具与VPN服务器建立连接。* 步骤:右键单击“网上邻居”属性在“网络连接”中双击某个VPN出站连接在“用户名”和“密
19、码”中输入VPN服务器所在的局域网中的一个具有“拨入权限”的用户帐号及其密码点击“拨号” 。(2)客户机不在Internet上* 如果客户机不在Internet上,则无法直接与VPN服务器建立连接。* 为了建立VPN连接,客户机必须首先采取某种方法把自己连接到Internet上,然后再建立VPN连接。* 为此,用户可以先把自己的计算机利用Modem连接到当地的PSTN上,并且建立起能够远程访问当地ISP的“拨号出站连接” 。这样,用户便可以先用该“拨号出站连接”工具与当地ISP建立起连接通道,由ISP为其分配Internet上的IP地址,这便实现了将它连接到Internet的目标。Window
20、s Server 2003 网络管理11* 然后,在建立“VPN出站连接”的过程中,选择该“拨号出站连接”作为“初始连接” 。这样,当拨通“VPN出站连接”时,系统会首先自动去拨那个“拨号出站连接” ,拨通后会自动再拨该“VPN出站连接” ,以此建立与VPN服务器之间的连接。 建立能够连接到当地ISP的“拨号出站连接”工具i)安装设备* 为了提供基于PSTN的端口,必须在远程访问客户机上安装Modem。* 步骤如前所述。ii)建立“拨号出站连接”工具* 用户在客户机上需要使用“拨号出站连接”工具连接到当地ISP上。* 步骤如前所述。 建立“VPN出站连接”工具* 步骤:右键单击“网上邻居”属性
21、在“网络连接”中双击“新建连接向导”选择“连接到我的工作场所的网络”选中“虚拟专用网络连接”在“公司名”中输入希望访问的目标地点的名称在“自动拨此初始连接”中选中已经建立好的能够连接到当地ISP的“拨号出站连接”在“主机名或IP地址”中输入VPN服务器在Internet上的IP地址选择“任何人使用” (如果希望任何人都可用该工具)或“只是我使用” (如果只希望本人使用该工具)按“完成” 。此时,在“网络连接”中会出现该“VPN出站连接”的图标。Windows Server 2003 网络管理12 与VPN服务器建立VPN连接* 用户坐在VPN客户机上,使用“VPN出站连接”工具与VPN服务器建
22、立连接。* 步骤:右键单击“网上邻居”属性在“网络连接”中双击某个VPN出站连接首先弹出连接到本地ISP的拨号窗口在该窗口中的“用户名”和“密码”处输入本地ISP提供的一个用户帐号及其密码拨通后系统会自动弹出连接到VPN服务器的拨号窗口在该窗口中的“用户名”和“密码”处输入VPN服务器所在的局域网中的一个具有“拨入权限”的用户帐号及其密码点击“拨号” 。九为用户帐号分配“远程拨入”的权限* 远程用户在与远程访问服务器建立远程访问连接时,必须提交一个用户帐号的名称与密码。经验证通过后,便以该用户帐号的身份访问公司局域网中的资源。* 该用户帐号必须在远程访问服务器上事先建立(如果公司的局域网是工作
23、组) ,或者在远程访问服务器所在的局域网中事先建立(如果公司的局域网是域) 。* 然而,并非所有的合法用户帐号都具有远程访问的权限。默认时,公司局域网中所有的用户帐号都只能在本局域网中访问网络资源。* 因此,如果希望哪些用户帐号具有远程访问的权限,必须为它们一一分配“远程拨入”的权限。只有这样,远程用户以该用户帐号的身份才可以远程访问公司局域网的资源。* 为远程访问服务器上的本机用户帐号分配“远程拨入”权限的步骤:Windows Server 2003 网络管理13右键单击“我的电脑”点击“管理”点击“本地用户和组”点击“用户”在右侧的详细窗格中双击某个希望分配“远程拨入”权限的用户帐号点击“
24、拨入”标题卡在“远程访问权限(拨入或VPN) ”中选中“允许访问”按“确定” 。十在远程访问服务器上配置为远程访问客户机分配IP地址的方法* 当远程访问客户机与远程访问服务器建立起连接后,需要从远程访问服务器那里获取公司局域网中的一个有效IP地址。* 可以在远程访问服务器上设置如何为客户机分配公司局域网中的IP地址。* 为客户机分配IP地址的方法有两种:“使用DHCP动态分配”和“静态IP地址池” 。1使用DHCP动态分配* 如果在公司局域网中存在着DHCP服务器,则可以在远程访问客户机连接到远程访问服务器后,由远程访问服务器把客户机的IP地址租用请求转发给公司局域网中的DHCP服务器,由DH
25、CP服务器为这些远程访问客户机自动分配公司局域网中的有效IP地址。* 步骤:在“路由和远程访问”管理控制台中右键单击该远程访问服务器的名字点击“属性”点击“IP”标题卡在“IP地址指派”中选择“动态主机配置协议(DHCP) ”按“确定” 。2静态IP地址池* 如果在公司局域网中没有DHCP服务器,则可以在远程访问服务器上手工建立一个静态的IP地址池,里面包含了公司局域网中的若干有效IP地址。当客Windows Server 2003 网络管理14户机连接到远程访问服务器后,由远程访问服务器从自己的静态IP地址池中选取一个没有被分配的IP地址并把直接它提供给远程访问客户机。* 步骤:在“路由和远
26、程访问”管理控制台中右键单击该远程访问服务器的名字点击“属性”点击“IP”标题卡在“IP地址指派”中选择“静态地址池”点击“添加”建立一个IP地址范围按“确定” 。十一在远程访问服务器上配置身份验证协议* 为了保证远程访问的安全性,远程访问服务器必须对远程访问客户机的身份进行验证。* 在远程访问服务器上,可以配置多种身份验证协议,对远程访问客户机的身份信息进行验证,以决定是否允许客户机对其进行远程访问。* 身份验证协议有两种:“标准的身份验证协议”和“EAP(可扩展身份验证协议)方法” 。1设置身份验证协议的步骤* 步骤:在路由和远程访问管理控制台中右键单击该远程访问服务器的名称属性选择“安全
27、”标题卡点击“身份验证方法”选中某种身份验证方法(可复选)按“确定” 。2标准的身份验证协议 PAP* 不对远程用户提交的用户信息和密码进行加密,而是直接以明文的方式传输,最不安全。 SPAPWindows Server 2003 网络管理15* 可以加密用户信息与密码,比PAP更安全,但是比CHAP或MSCHAP要差。 CHAP* 加密级别高,高安全,被绝大多数操作系统支持。* 在混合的网络环境(存在非Windows计算机)中推荐使用。 MSCHAP* 只在Windows网络中使用。 * 不仅加密用户信息与密码,还使用MPPE协议加密传输的数据。* 比CHAP更为安全。 MSCHAP V2* 只在Windows网络中使用。 * 不仅加密口令,还使用MPPE协议加密传输的数据。 * 可以在远程访问服务器与客户机之间进行双向验证。也就是说,既向服务器验证客户机的身份,也向客户机验证服务器的身份。* 最高安全性。3EAP方法* 上述的各种“标准的身份验证协议”均要求远程用户提交用户名和密码,因此属于基于“密码”的身份验证方法。* 随着科学技术的发展,可以在“EAP方法”中添加更多其它的新身份验证方法,例如:基于指纹、视网膜的身份验证或者智能卡。
