第19章 远程访问服务

远程访问服务主讲：汤亮本章目标•了解远程访问的作用和意义•掌握远程访问服务器的配置方法•掌握客户机网络连接的配置方法•掌握远程访问策略的使用•掌握远程访问的一些排错方法远程访问服务概述•远程访问服务（RAS）提供了两种连接方式–拨号网络–虚拟专用网络内部网络RAS服务器公共网络拨号用户调制解调器调制解调器VPN用户VPN拨号连接虚拟专用连接好像客户机直接连接在局域网上一样拨号网络组件•拨号网络客户端•远程访问服务器•WAN结构•远程访问协议•LAN协议内部网络RAS服务器调制解调器调制解调器公共交换电话网PSTN综合业务数字网ISDN非对称数字用户线ADSL点到点协议PPP串行线路网际协议SLIPMicrosoftRAS协议TCP/IP,IPX,NetBEUIwin2003的远程访问数据传输通信协议•远程客户端通过远程访问服务器连接与访问本地网络的资源时须用到下面协议：1、LAN通讯协议：NETBEUI、TCP/IP、IPX/SPX、AppleTalk协议等–AppleTalk远程访问协议：ARAP•使AppleMacintosh客户机可访问2003远程访问服务器•反之，2003客户不能访问ARAP远程访问服务2、远程访问通讯协议：1）SIIP（串行线路网际协议）：使用UNIX系统的远程访问协议。注：A、客户端IP地必须为静态B、不支持DHCP和WINS。C、局域网支协议只能为TCP/IP协议D、以明文传送密码E、效率较高F、WIN2000/2003客户端可以使用SLIP协议连接UNIX系统RAS服务器，但WIN2000/2003服务器不支持SIIP协议。2）PPP（点对点协议）：工业标准协议，当前被子广泛使用。注：A、能够支持各种局域网协议；B、WIN2000/WIN2003的RAS只支持NETBEUI、TCP/IP、IPX/SPX协议；C、WINDOWS客户端只支持NETBEUI、TCP/IP、IPX/SPX，AppleTalk的Macintosh客户端可以通过此协议来连接WIN2003的RAS，但WINDOWS客户端不可以连接ARAP（AppleTalkRemoteAccessProtocol）的RAS。3、MICROSOFTRAS协议:MICROSOFT专有的通信协议，只支持NETBEUI协议。远程拔号服务•可以让远程客户端利用电话线通过MODEM、ISDN、X.25等连接远程访问服务器，从而访问本地资源。远程拔号连接方式1、PSTN（公用交换电话网）注：1）公用交换电话网；2）电话线；3）调制解调器；4）传输速率33.6K-53K,最大56K；5）带宽不足，传输接入慢，传输质量差，不够安全。2、ISDN（综合业务数字网）注：电话线；ISDN适配器，NT（网络终端），俗称“一线通”；传输数字信号；基本速率的ISDN提供2个B信道，一个D信道，B信道传输速率为64KD信道传输速率为16K基本速率可将2个B信道整合即2B+D，高级速率可将23个B信道整合，23B+D3、ADSL（非对称数字用户线路）：适用中小型企业及居民用户的技术。1）电话线、ADSL适配器,(ADSLMODEM)；2）上传和下载速率不同，上传640K~2M.下载1.5M~8M；VPN概述家庭办公InternetVPN通道上海分公司北京总公司VPN服务器在公网上为两个局域网开辟一条安全的数据传输隧道节约成本，提高了安全性VPN组件•VPN客户端•VPN服务器•隧道•VPN连接•隧道协议•传输互联网络配置远程访问服务•激活路由和远程访问服务•配置远程访问服务器•配置客户机网络连接Internet网络接口设置为Windows身份验证激活路由和远程访问服务配置远程访问服务器的属性•常规•安全•IP•PPP•日志身份验证方式采用Windows身份验证IP地址的分配有2种动态主机配置协议和静态地址池利用DHCP将IP地址分配给远程访问客户机•如果DHCP服务器是可用的•如果DHCP服务器是不可用的•将某些DHCP选项指定给拨号用户–可使用默认的路由和远程访问类CLASS远程访问服务器一次从DHCP服务器获得10个IP地址第一个地址给自己使用远程访问服务器使用APIPA地址169.254.0.0/16配置端口配置用户拨入属性配置客户机网络连接连接VPN服务器客户端获得专用IP地址输入UNC路径“\\10.1.1.2\doc”访问局域网中的文件服务器配置多链路连接(两端必须都起用)ABABC远程访问服务器多链路带BAP按需动态增/减链路远程访问服务器多链路•多链路技术–将多个物理链路结合成一个逻辑束，以增加带宽，如4*128=512Kpbs–PPP多链路协议•BAP带宽分配协议–提供动态的多链路支持•服务器配置–RRAS—服务器—属性—PPP•多重链接连接–使用BAP或BACP的动态带宽控制•在远程访问客户机上配置多链路–相应连接—属性—常规•选择连接使用的多个设备–选项（选一个）•只拨叫第一个可用的设备（等于没启动多重连接功能）•拨叫所有设备（等于起用了多重连接功能）•只根据需要拨叫设备–自动拨号：带宽高于75%持续维持2分钟，自动增加拨号连接一线自动挂段：带宽低于10%持续维持2分钟，自动挂段其中连接一线实验背景IBM公司出差的员工需要访问公司局域网的文件服务器上的共享文件夹doc文件服务器的IP地址为10.1.1.2出差的员工使用VPN连接到公司局域网，VPN服务器的IP为192.168.1.2出差员工的计算机的OS为WindowsXP，IP地址为192.168.1.11（假设以上2个IP地址为互联网的IP地址）出差员工如何能使用UNC路径“\\10.1.1.2\doc”访问局域网中的文件服务器目标激活路由和远程访问服务配置用户拨入属性配置客户机网络连接验证能够利用VPN访问局域网远程访问策略用于决定用户是否有权连接远程访问服务器.注:1）如果有多条远程访问策略,则系统会逐一匹配,只要其中一个为允许,则该用户可以连接；2）远程访问策略的内容：A、策略内容B、策略属性C、配置文件3）规则：A、匹配策略条件：若策略条件允许,则匹配用户拔入权限；反之,则用户不可以连接；B、匹配拔入权限：若拔入权限允许,则匹配配置文件，若拔入权限拒绝,则用户不可以连接,若拔入权限为“通过远程访问策略控制访问”,则匹配策略属性，若策略属性允许,则匹配配置文件,若拒绝则用户不可以连接；C、匹配配置文件：若配置文件允许,则用户可以连接,反之则不可以连接。远程访问策略的组成条件配置文件远程访问权限策略条件策略条件添加策略条件对编辑策略条件限制用户的连接时间和日期添加选中的条件配置文件•拨入限制•IP•身份验证•多重链接•加密对数据加密对密码加密远程访问策略的应用规则是否有策略处理开始连接尝试是否符合策略条件处理下一策略检查Ignore-User-Dialin-Properties属性属性值是否为False远程访问策略是否被设置为“拒绝远程访问权限”用户帐户上是否被设置为“拒绝访问”用户帐户上是否被设置为“允许访问”连接尝试是否同时符合用户帐户和配置文件的设置拒绝连接请求接受连接尝试拒绝连接尝试是是是是是是否否否否否否否是验证通信协议•WIN2003所支持的验证通信协议有:1、PAP:该方式对密码不加密,以时文传输2、SPAP:密码经过加密,很少用3、CHAP:密码加密,MD-54、MS-CHAPV2:MICROSOFT,密码加密采用MPPE方式加密注:1）安全性优先级PAPSPAPCHAPMS-CHAPMSCHAPV22）MS-CHAP及MS-CHAPV2不仅密码加密而且对数据加密；标准的身份验证协议协议安全性PAP低口令明文SPAP中口令加密CHAP高MS-CHAP高何时使用客户机和服务器不能利用更安全的验证形式进行协商时。双向可逆的加密机制某些客户运行非MS操作系统，MD5有些用户运行NT4.0，95/98，2003MS-CHAPv2高有些运行2003的拨号客户机运行NT4/98的VPN机更强的初始数据密钥，不同的密钥配置加密协议RRAS—远程访问策略—相应策略—属性—编辑配置文件—加密EditDial-inProfileDial-inConstraintsIPMultilinkAdvancedEncryptionAuthenticationNOTE:TheseencryptionsettingsapplyonlytotheWindows2003RoutingandRemoteAccessService.Selectthelevel(s)ofencryptionthatshouldbeallowedbythisprofile.无加密基本加密强加密最强加密OKCancelApplyIPSec：56位（DES）MPPE：40位IPSec：56位（DES）MPPE：56位IPSec：3DESMPPE：128位排错检查步骤1）硬件是否正常2）远程访问服务是否启动3）如果启动，则检查服务器设置，如端口是否允许远程访问连接4）用户帐户的拨入属性配置是否正确5）远程访问策略是否存在，如果存在，则策略的条件、远程访问权限、配置文件是否符合6）客户端的配置，例如新建网络连接的参数是否正确、用户名和密码是否输入正确等常见故障及解决方法•故障现象1•错误649：本账户没有拨入的权限•可能的原因–用户帐户拨入属性中设置拒绝访问–远程访问策略中的条件不满足，例如“Day-And-Time-Restrictions”在规定时间段内拒绝，或者“Windows-Groups”添加的用户组中的成员不包含本帐户等–远程访问策略中的设置了拒绝远程访问权限–没有远程访问策略（远程访问策略全部被删除）常见故障及解决方法•故障现象2•错误919：远程计算机拒绝使用配置好的身份验证协议进行身份验证。线路已断开。•可能的原因–客户端与远程访问服务器的身份验证方式不匹配实验背景阶段练习1内容要求所有出差的员工都在一个组中，只授权该组有登录权限所有用户只能在每天9：00到18：00的时间内连接VPN服务器要求身份验证方式比较安全要求传输数据采用增强加密方式目标掌握远程访问策略的使用理解远程访问策略中的条件、远程访问权限和配置文件