Иллюстрированный самоучитель по Microsoft Windows 2000

Коммуникационные службы

  • Служба удаленного доступа

    Служба удаленного доступа, входящая в состав Microsoft Windows 2000, позволяет удаленным или мобильным работникам подключаться к корпоративным вычислительным сетям, например, по телефонной коммутируемой линии и работать с ресурсами сети как обычно.
  • Новые возможности удаленного доступа в Windows 2000

    Новые возможности службы удаленного доступа Windows 2000 Server перечислены в табл. 19.1. | Таблица 19.1. Удаленный доступ в Windows 2000 Server. | Возможность | Описание | Интеграция с Windows 2000 Active Directory
  • Сравнение средств удаленного доступа в Windows 2000 и Windows NT 4.0

    В табл. 19.2 перечислены общие задачи конфигурирования удаленного доступа в Windows 2000. Интерфейс пользователя для выполнения этих задач в Windows 2000 отличается от интерфейсов Windows NT 4.0 и Windows NT 4.0 с установленной службой маршрутизации и удаленного доступа (RRAS). | Таблица 19.2.
  • Базовые понятия

    На сервере удаленного доступа под управлением Windows 2000 установленное сетевое оборудование отображается в виде ряда устройств и портов. | Устройство – аппаратура или программное обеспечение, которое предоставляет службе удаленного доступа порты для установки соединений "точка-точка".
  • Транспортные протоколы и удаленный доступ. TCP/IP.

    Необходимо учитывать протоколы, используемые в настоящий момент в сети – это может повлиять на планирование, интеграцию и настройку удаленного доступа. Удаленный доступ в Windows 2000 поддерживает транспортные протоколы TCP/IP, IPX/SPX, AppleTalk и NetBEUI.
  • IPX. NetBEUI. AppleTalk.

    IPX – протокол, применяемый в сетях на базе Novell NetWare. Будучи маршрутизируемым, протокол IPX подходит для организации глобальных корпоративных сетей.
  • Установка сервера удаленного доступа. Установка программного обеспечения. Аппаратные требования.

    При инсталляции Windows 2000 Server по умолчанию устанавливается и служба маршрутизации и удаленного доступа (RRAS). Однако изначально она не активизирована. | Примечание | Чтобы устанавливать и конфигурировать сервер удаленного доступа, нужно быть членом группы Администраторы (Administrators).
  • Установка и настройка оборудования. Модемы.

    Модемы наиболее часто применяются для установления коммутируемого соединения. Модемы предоставляют возможность установления соединения на скорости до 33.6 Кбит/с по обычной аналоговой телефонной линии или 57.6 Кбит/с при наличии специального оборудования на сервере.
  • Прямое соединение. Совместно используемые модемы. ISDN. Х.25.

    Можно объединить два компьютера без модема при помощи прямого последовательного соединения. Для него не требуется сетевой адаптер, но это очень медленное соединение. Конфигурация "нуль-модем" функционирует лучше всего на компьютерах, физически расположенных близко друг от друга.
  • Многоканальные соединения

    Удаленный доступ Windows 2000 поддерживает многоканальное соединение и протокол ВАР. При помощи многоканального соединения несколько физических линий представляются в виде одного логического соединения, которое используется для приема и передачи данных.
  • Коммутируемый доступ

    Компоненты коммутируемого доступа в Windows 2000 описаны в табл. 19.3. | Таблица 19.3. Компоненты коммутируемого доступа. | Компонент | Описание | Серверы коммутируемого доступа | Можно настроить сервер удаленного доступа, работающий под управлением Windows 2000, чтобы он предоставлял доступ ко всей сети или только к ресурсам сервера удаленного доступа | Клиенты коммутируемого доступа
  • Серверы коммутируемого доступа

    Для администрирования сервера удаленного доступа под управлением Windows 2000 служит оснастка Маршрутизация и удаленный доступ (рис. 19.4). С ее помощью можно просматривать подключенных пользователей и управлять трафиком удаленного доступа.
  • Клиенты коммутируемого доступа. Клиенты РРР Microsoft. Клиенты РРР сторонних производителей.

    Клиентом коммутируемого доступа, который подключается к серверу удаленного доступа под управлением Windows 2000, может быть компьютер с Windows NT, Windows 2000, Windows 98, Windows 95, Windows for Workgroups, MS-DOS, LAN Manager или любой РРР-клиент.
  • Клиенты Microsoft RAS. Клиенты SLIP. Клиенты ARAP.

    Перечисленные в табл. 19.5 клиенты не могут использовать протокол удаленного доступа РРР, но поддерживаются сервером удаленного доступа под управлением Windows 2000 при помощи протокола Microsoft RAS. Этот протокол удаленного доступа поддерживает в качестве транспортного только протокол NetBEUI.
  • Протоколы коммутируемого доступ

    Протоколы удаленного доступа управляют передачей данных через глобальную сеть (например, через телефонную сеть или сеть Х.25). Операционная система и транспортные протоколы, используемые клиентами и серверами удаленного доступа, определяют, какой протокол удаленного доступа могут использовать клиенты (табл. 19.6). | Таблица 19.6. Протоколы удаленного доступа, поддерживаемые Windows 2000.
  • Построение виртуальных частных сетей (VPN)

    Виртуальные частные сети (Virtual Private Network, VPN) на базе Windows 2000 включают компоненты, указанные в табл. 19.7. | Таблица 19.7. Компоненты VPN. | Компонент | Краткое описание | Серверы VPN | Сервер VPN предоставляет доступ ко всей сети или только к общим ресурсам самого сервера
  • Клиенты VPN. Серверы VPN.

    Клиентом виртуальной частной сети, который соединяется с серверами удаленного доступа под управлением Windows 2000, может быть Windows NT 4.0, Windows 95 или Windows 98 (табл. 19.8). | Для того чтобы принимать/передавать пакеты TCP/IP серверу удаленного доступа, клиенту требуется сетевой адаптер или модем и аналоговая телефонная линия или другое подключение к WAN (ISDN, X.25 и т. п.). | Таблица 19.8.
  • Протоколы туннелирования

    В табл. 19.10 кратко описаны протоколы туннелирования, используемые VPN-сервером в среде Windows 2000. | Таблица 19.10. Протоколы туннелирования. | Протокол | Описание | РРТР | Point-to-Point Tunneling Protocol (Протокол туннелирования "точка-точка", РРТР) – промышленный стандарт de facto для протоколов туннелирования, впервые появившийся в Windows NT 4.0.
  • Защита удаленного доступа. Свойства учетной записи пользователя.

    Проверка подлинности клиентов удаленного доступа – важная часть системы безопасности. Методы проверки подлинности обычно.используют протокол проверки подлинности во время установления соединения. Windows 2000 также поддерживает доступ без проверки подлинности.
  • Проверка подлинности. Домен Windows 2000 и Active Directory. Служба RADIUS.

    Сервер удаленного доступа под управлением Windows 2000 Server может использовать систему безопасности главного контроллера домена (PDC) Windows NT (Windows NT 4.0 Server и более ранние) или систему безопасности Windows 2000 Active Directory (Windows 2000 Server) при получении информации для проверки подлинности пользователей удаленного доступа.
  • Доступ без проверки подлинности

    Windows 2000 поддерживает также доступ без проверки подлинности (табл. 19.12), который означает, что серверу удаленного доступа не требуется идентификационная информация пользователя (имя пользователя и пароль). | Таблица 19.12. Варианты доступа без проверки подлинности.
  • Протоколы проверки подлинности ЕАР

    При помощи ЕАР (Extensible Authentication Protocol, расширяемый протокол идентификации) можно подключить любой механизм проверки подлинности (аутентификации), который будет проверять достоверность информации о пользователе, установившем соединение удаленного доступа.
  • MS CHAP и MS CHAP версии 2

    Windows 2000 включает поддержку MS CHAP (Microsoft Challenge Handshake Protocol, протокол проверки подлинности запроса-подтверждения Microsoft), также известный как MS CHAP версии 1. MS CHAP – это протокол проверки подлинности с необратимым шифрованием пароля.
  • CHAP. SPAP. PAP. ARAP.

    Протокол проверки подлинности CHAP – протокол проверки подлинности типа "запрос-ответ", использующий схему хэширования MD-5 (Message Digest, дайджест сообщения) для шифрования ответа. CHAP используется различными производителями ПО серверов и клиентов удаленного доступа.
  • Шифрование данных

    Для защиты данных, передаваемых между клиентом и сервером удаленного доступа, можно использовать шифрование. Шифрование данных важно для финансовых учреждений, правоохранительных и правительственных органов и корпорации, которым требуется безопасная передача данных.
  • Правила предоставления удаленного доступа. Защита при подключении. Защита после подключения.

    После того как установлен сервер удаленного доступа, нужнб определить, какие пользователи могут устанавливать соединение с ним. Для Windows 2000 разрешение удаленного доступа определяется политикой удаленного доступа и учетной записью пользователя.
  • Caller ID

    При настройке защиты удаленного доступа на использование Caller ID (идентификатор звонящего абонента) задается телефонный номер, с которого пользователь должен осуществлять связь. Если пользователь производит попытку соединения с другого номера, сервер удаленного доступа отклоняет ее.
  • Ответный вызов

    Если применяется ответный вызов, пользователь инициализирует запрос и соединяется с сервером удаленного доступа (табл. 19.14). Сервер удаленного доступа после проверки подлинности пользователя "вешает трубку" и осуществляет ответный вызов по номеру, определенному звонящим пользователем или заданному администратором.
  • Хосты безопасности. Блокировка учетной записи.

    Хост безопасности – устройство проверки подлинности сторонних производителей, которое проверяет, имеет ли вызывающий клиент удаленного доступа разрешение на соединение с сервером удаленного доступа. Эта проверка дополняет систему безопасности, предоставляемую сервером удаленного доступа под управлением Windows 2000. | Хост безопасности располагается между клиентом и сервером удаленного доступа.
  • Регистрация и протоколирование

    Сервер удаленного доступа Windows 2000 поддерживает два типа регистрации. | Регистрация событий RAS – регистрация событий в журнале событий системы Windows 2000. Обычно используется для решения проблем или уведомления системных администраторов о необычных событиях.
  • Политика удаленного доступа

    Политика удаленного доступа – набор условий и параметров соединения которые предоставляют сетевому администратору больше гибкости в настройке разрешений удаленного доступа и атрибутов соединения. Политика удаленного доступа хранится на локальном компьютере.
  • Элементы политики удаленного доступа

    Политика удаленного доступа – именованное правило, в которое входят следующие элементы: условия, разрешение (право) удаленного доступа, а также профиль. | Условия (Conditions) | Условия политики удаленного доступа – это один или несколько атрибутов (рис. 19.7, табл.
  • Политика удаленного доступа по умолчанию. Установление соединения с использованием политик.

    Политика удаленного доступа по умолчанию (default policy) работает так: удаленный доступ с ее использованием разрешается, если для устанавливающего входящее соединение пользователя предоставлено разрешение удаленного доступа.
  • Преобразование сетевых адресов (NAT). Общие понятия.

    Средство NAT (Network Address Translation, преобразование (трансляция) сетевых адресов) в Windows 2000 позволяет легко подключить домашнюю сеть или сеть малого офиса к Интернету. NAT состоит из следующих компонентов.
  • Частные адреса

    Чтобы устанавливать соединение с ресурсами Интернета, необходимо использовать адреса, распределенные центром Network Information Center (Информационный центр сети Интернет, InterNIC). Такие адреса могут получать трафик от служб межсетевой сети и называются public-адресами (public address).
  • Пример NAT

    Если сеть малого предприятия использует идентификатор сети 192.168.0.0 для интрасети и имеется public-адрес a.b.c.d, полученный от Интернет-провайдера, то NAT отображает все частные адреса в сети 192.168.0.0 в IP-адрес a.b.c.d.
  • Редакторы NAT

    По умолчанию NAT транслирует IP-адреса и TCP/UDP-порты. Если IP-адрес и информация о порте содержатся только в заголовках IP и TCP/UDP, то прикладной протокол также будет правильно транслироваться nat!
  • Проектирование сети с преобразованием адресов. Частные сетевые адреса. Один или несколько public-адресов.

    Прежде чем реализовать сеть с преобразованием адресов, рассмотрим некоторые аспекты ее построения, описанные в следующих разделах, чтобы избежать проблем. | Частные сетевые адреса | Необходимо использовать IP-адреса, выделенные InterNIC для частных IP-сетей (см. выше).
  • Разрешение входящего соединения

    Обычно NAT используется в домашней или малой сети, чтобы разрешить исходящие соединения (из частной сети в общую сеть). Приложения типа веббраузеров, работающих в частной сети, создают соединения с ресурсами Интернета.
  • Конфигурирование компьютера-преобразователя адресов

    Чтобы сконфигурировать компьютер-преобразователь адресов, необходимо выполнить следующие действия: | Сконфигурировать IP-адрес домашнего сетевого интерфейса. | Для IP-адреса адаптера LAN, соединенного с домашней сетью, необходимо задать следующие значения: | IP-адрес: 192.168.0.1
  • Конфигурирование других компьютеров в сети малого офиса или в домашней сети. Дополнительные установки преобразователя адресов.

    Можно настроить протокол TCP/IP на других компьютерах в сети малого офиса или в домашней сети, чтобы они получали IP-адреса автоматически. | Когда компьютеры в домашней сети получают свой IP-адрес с компьютера, на котором функционирует NAT, получаемая ими конфигурация будет следующей. | IP-адрес
  • Администрирование NAT. Добавление преобразования сетевых адресов (NAT).

    Для добавления преобразователя сетевых адресов (NAT) необходимо в окне оснастки Маршрутизация и удаленный доступ в разделе Маршрутизация IP (IP Routing) щелкнуть правой кнопкой мыши на узле Общие (General) и выбрать из появившегося контекстного меню команду Новый протокол маршрутизации (New Routing Protocol).
  • Добавление интерфейса для преобразования адресов

    Для добавления интерфейса для преобразования адресов необходимо в окне оснастки Маршрутизация и удаленный доступ в разделе Маршрутизация IP (IP Routing) щелкнуть правой кнопкой мыши на узле Преобразование сетевых адресов (NAT) (Network Address Translation (NAT)) и из появившегося контекстного меню выбрать команду Новый интерфейс (New Interface). | Далее, выбрать нужный интерфейс и нажать кнопку ОК.
  • Разрешение адресации

    Для разрешения адресации следует в окне оснастки Маршрутизация и удаленный доступ в разделе Маршрутизация IP (IP Routing) щелкнуть правой кнопкой мыши на узле Преобразование сетевых адресов (NAT) и в появившемся контекстном меню выбрать команду Свойства.
  • Разрешение распознавания имен для преобразования адресов

    Чтобы разрешить распознавание имен для преобразования адресов в окне оснастки Маршрутизация и удаленный доступ, в разделе Маршрутизация IP (IP Routing) щелкните правой кнопкой мыши на узле Преобразование сетевых адресов (NAT) и в появившемся контекстном меню выберите команду Свойства.
  • Конфигурирование диапазонов IP-адресов для преобразования. Конфигурирование преобразования специальных портов. Настройка сетевых приложений.

    Для конфигурирования диапазонов IP-адресов для преобразования в окне оснастки Маршрутизация и удаленный доступ в разделе Маршрутизация IP (IP Routing) разверните узел Преобразование сетевых адресов (NAT), щелкните правой кнопкой мыши на нужном интерфейсе и выберите в появившемся контекстном меню команду Свойства.
  • Служба факсимильных сообщений. Использование службы факсов.

    Служба факсов (Fax Service) позволяет посылать и получать факсимильные сообщения без использования дополнительных программ, поскольку все, что для этого нужно, – факс-модем. Можно легко передавать по факсу документы при помощи команды Печать, которая обычно имеется в текстовых процессорах, электронных табличных процессорах и в приложениях других типов.
  • Возможности службы факсов

    Передача сообщения на титульном листе. | Службу факсов позволяет передавать сообщения на титульном листе факса отдельно от документа. В Редакторе титульных страниц факсов (Fax Cover Page Editor) можно создать любой титульный лист по желанию пользователя или выбрать один из имеющихся шаблонов титульных листов. Мастер рассылки факсов автоматически вносит информацию о получателе и отправителе (рис.
  • Телефония

    Программное обеспечение для поддержки телефонии – API-интерфейс телефонии (Telephony API, TAPI). TAPI обеспечивает функциональные возможности систем клиент-сервер; таким образом, прикладные телефонные программы на клиентском компьютере могут связываться с выделенным компьютером-сервером, который функционирует как шлюз с телефонным коммутатором.
  • Интеграция компьютерных и телефонных сетей

    Компьютерная телефония позволяет настольным компьютерам взаимодействовать с аппаратными средствами телефонии, обычно РВХ, через механизмы интеграции компьютера и телефонии (Computer-Telephony Integration, CTI).
  • Поставщик удаленных услуг TAPI

    В TAPI (рис. 19.23) включены отдельные поставщики услуг, включая те, которые позволяют реализовать клиент-серверные возможности, например, Microsoft Windows Remote Service Provider (Поставщик удаленных услуг Microsoft Windows).
  • IP-телефония. Поставщики услуг IP-телефонии. Групповая конференц-связь по IP.

    В организациях обычно поддерживаются раздельные сети для передачи голоса, данных и видеоинформации. Поскольку все сети имеют различные транспортные требования и физически независимы, их установка, поддержка и реорганизация обходятся дорого.
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.