|
- Служба удаленного доступа Служба удаленного
доступа, входящая в состав Microsoft Windows 2000, позволяет удаленным
или мобильным работникам подключаться к корпоративным вычислительным
сетям, например, по телефонной коммутируемой линии и работать с ресурсами
сети как обычно. Удаленный доступ также обеспечивает поддержку
виртуальных частных сетей (Virtual Private Network, VPN), чтобы
пользователи могли устанавливать безопасное соединение с корпоративной
сетью через общественные сети, например, через Интернет.
- Новые возможности удаленного доступа в Windows
2000
- Сравнение средств удаленного доступа в Windows
2000 и Windows NT 4.0
- Базовые понятия
- Транспортные протоколы и удаленный доступ
Необходимо учитывать протоколы, используемые в настоящий момент в
сети — это может повлиять на планирование, интеграцию и настройку
удаленного доступа. Удаленный доступ в Windows 2000 поддерживает транспортные
протоколы TCP/IP, IPX/SPX, AppleTalk и NetBEUI. Это означает, что
можно интегрировать сервер удаленного доступа на базе Windows 2000
в существующую сеть Microsoft, UNIX, Apple Macintosh или Novell NetWare
(по протоколу удаленного доступа РРР) или в сеть Apple Macintosh (по
протоколу удаленного доступа ARAP). Клиенты удаленного доступа Windows
2000 могут также подключаться к серверам удаленного доступа SLIP
- TCP/IP TCP/IP— один из наиболее популярных
транспортных протоколов. Его возможности маршрутизации и масштабирования
предоставляют максимальную гибкость при организации корпоративной
сети. Каждый удаленный компьютер, который подключается к серверу удаленного
доступа под управлением Windows 2000 при помощи РРР и TCP/IP, автоматически
получает IP-адрес. Сервер удаленного доступа предоставляет клиенту
удаленного доступа IP-адрес, который выделен сервером DHCP или выбран
из статического диапазона IP-адресов, назначенных серверу удаленного
доступа администратором.
- IPX
- NetBEUI
- AppleTalk
- Установка сервера удаленного доступа При
инсталляции Windows 2000 Server по умолчанию устанавливается и служба
маршрутизации и удаленного доступа (RRAS). Однако изначально она не
активизирована.
- Установка программного обеспечения
- Аппаратные требования
- Установка и настройка оборудования
- Модемы
- Прямое соединение Можно
объединить два компьютера без модема при помощи прямого последовательного
соединения. Для него не требуется сетевой адаптер, но это очень медленное
соединение. Конфигурация "нуль-модем" функционирует лучше всего на
компьютерах, физически расположенных близко друг от друга.
- Совместно используемые модемы
- ISDN
- Х.25
- Многоканальные соединения
- Коммутируемый доступ
- Серверы коммутируемого доступа
- Клиенты коммутируемого доступа
- Клиенты РРР Microsoft Клиенты
РРР Microsoft, использующие TCP/IP, IPX или NetBEUI, могут устанавливать
соединение с сервером удаленного доступа под управлением Windows NT
3.5 или выше (включая Windows 2000). Клиенты РРР Microsoft
не могут работать с протоколом AppleTalk.
Сервер удаленного доступа автоматически аутентифицирует клиентов РРР.
Поддержка возможностей удаленного доступа для клиентов коммутируемого
доступа РРР производства фирмы Microsoft представлена в табл. 19.4.
- Клиенты РРР сторонних производителей
- Клиенты Microsoft RAS
- Клиенты SLIP
- Клиенты ARAP
- Протоколы коммутируемого доступа Протоколы
удаленного доступа управляют передачей данных через глобальную сеть
(например, через телефонную сеть или сеть Х.25). Операционная система
и транспортные протоколы, используемые клиентами и серверами удаленного
доступа, определяют, какой протокол удаленного доступа могут использовать
клиенты (табл. 19.6).
- Построение виртуальных частных сетей (VPN)
- Клиенты VPN
- Серверы VPN
- Протоколы туннелирования В табл. 19.10
кратко описаны протоколы туннелирования, используемые VPN-сервером
в среде Windows 2000.
- Защита удаленного доступа Проверка
подлинности клиентов удаленного доступа — важная часть системы безопасности.
Методы проверки подлинности обычно.используют протокол проверки подлинности
во время установления соединения. Windows 2000 также поддерживает
доступ без проверки подлинности.
- Свойства учетной записи пользователя
- Проверка подлинности
- Домен Windows 2000 и Active Directory
- Служба RADIUS
- Доступ без проверки подлинности
- Протоколы проверки подлинности ЕАР
- MS CHAP
- М8 СНАР версии2
- CHAP
- SPAP
- PAP
- ARAP
- Шифрование данных
- Правила предоставления удаленного доступа
- Защита при подключении
- Защита после подключения
- CallerlD
- Ответный вызов Если
применяется ответный вызов, пользователь инициализирует запрос и соединяется
с сервером удаленного доступа (табл. 19.14). Сервер удаленного доступа
после проверки подлинности пользователя "вешает трубку" и осуществляет
ответный вызов по номеру, определенному звонящим пользователем или
заданному администратором. Привилегия ответного вызова назначается
для каждого пользователя, если ему предоставлено разрешение удаленного
доступа.
- Хосты безопасности
- Блокировка учетной записи
- Регистрация и протоколирование
- Политика удаленного доступа
- Элементы политики удаленного доступа Политика
удаленного доступа — именованное правило, в которое входят следующие
элементы: условия, разрешение (право) удаленного доступа,
а также профиль.
- Политика удаленного доступа по умолчанию
- Установление соединения с использованием политик
- Преобразование сетевых адресов (NAT)
- Общие понятия
- Частные адреса
- Пример NAT Если
сеть малого предприятия использует идентификатор сети 192.168.0.0
для интрасети и имеется public-адрес a.b.c.d, полученный от Интернет-провайдера,
то NAT отображает все частные адреса в сети 192.168.0.0 в IP-адрес
a.b.c.d. Если несколько частных адресов отображаются в один public-адрес
с использованием NAT, TCP- и UDP-порты выбираются динамически, чтобы
отличить один компьютер внутри интрасети от другого.
- Редакторы NAT
- Проектирование сети с преобразованием адресов
- Частные сетевые адреса
- Один или несколько public-адресов
- Разрешение входящего соединения
- Конфигурирование компьютера-преобразователя
адресов
- Конфигурирование других компьютеров в сети
малого офиса или в домашней сети
- Дополнительные установки преобразователя адресов
- Администрирование NAT
- Добавление преобразования сетевых адресов
(NAT)
- Добавление интерфейса для преобразования адресов
- Разрешение адресации
- Разрешение распознавания имен для преобразования
адресов
- Конфигурирование диапазонов IP-адресов для
преобразовании
- Конфигурирование преобразования специальных
портов
- Настройка сетевых приложений
- Служба факсимильных сообщений
- Использование службы факсов
- Возможности службы факсов
- Телефония Программное
обеспечение для поддержки телефонии — API-интерфейс телефонии (Telephony
API, TAPI). TAPI обеспечивает функциональные возможности систем клиент-сервер;
таким образом, прикладные телефонные программы на клиентском компьютере
могут связываться с выделенным компьютером-сервером, который функционирует
как шлюз с телефонным коммутатором. TAPI также является основой идя
использования в прикладных программах сторонних производителей: для
интеграции в эти программы функций телефонии, например, для набора
номера, для переадресации звонков, для речевой почты, для идентификации
звонящего, для конференц-связи при помощи компьютеров.
- Интеграция компьютерных и телефонных сетей
- Поставщик удаленных услуг TAPI В
TAPI включены отдельные поставщики услуг, включая те, которые позволяют
реализовать клиент-серверные возможности, например, Microsoft Windows
Remote Service Provider (Поставщик удаленных услуг Microsoft Windows).
Поставщик услуг включает следующие компоненты (некоторые из них вызываются
из командной строки):
- IP-телефония
- Поставщики услуг IP-телефонии
- Групповая конференц-связь по IР
|