Иллюстрированный самоучитель по Microsoft Windows 2003

Коммуникационные службы

  • Удаленный доступ

    Данная глава посвящена рассмотрению основных коммуникационных служб, реализованных в Windows Server 2003. В первую очередь разговор пойдет о службе маршрутизации и удаленного доступа, позволяющей, в частности. внешним клиентам подключаться к корпоративной сети и использовать ее ресурсы.
  • Служба маршрутизации и удаленного доступа

    В Windows Server 2003 реализована Служба маршрутизации и удаленного доступа (Routing and Remote Access Service, RRAS), позволяющая удаленным пользователям подключаться к корпоративным вычислительным сетям.
  • Новые возможности службы удаленного доступа в Windows Server 2003

    Служба маршрутизации и удаленного доступа, реализованная в Windows Server 2003, характеризуется новыми функциональными возможностями, перечисляемыми ниже. | Поддержка механизма разделяемых ключей для аутентификации в случае использования протоколов L2TP/IPSec.
  • Устройства и порты службы удаленного доступа

    На сервере удаленного доступа под управлением Windows Server 2003 установленное сетевое оборудование отображается в виде ряда устройств и портов. | Под устройством (devices) понимается аппаратное или программное обеспечение, которое предоставляет службе удаленного доступа порты для установки соединений "точка-точка".
  • Транспортные протоколы и удаленный доступ

    При развертывании в корпоративной сети службы удаленного доступа необходимо учитывать транспортные протоколы, используемые в настоящий момент в локальной сети – это может повлиять на планирование, интеграцию и настройку удаленного доступа.
  • Стек протоколов TCP/IP

    Стек протоколов TCP/IP – один из наиболее популярных транспортных протоколов. Его возможности маршрутизации и масштабирования предоставляют максимальную гибкость при организации корпоративной сети. Перед администратором имеются две проблемы, связанных с использованием стека протоколов TCP/IP для реализации удаленного доступа: | выделение клиенту IP-адреса; | разрешение имен.
  • Стек протоколов NWLink. Стек протоколов AppleTalk.

    В принципе, клиенты удаленного доступа на базе Windows Server 2003 могут использовать стек протоколов NWLink (IPX/SPX-совместимый стек протоколов) для доступа к ресурсам Novell NetWare. | Напомним, однако, что это возможно только с использованием механизма сетевых подключений, создаваемых в папке Network Connections.
  • Протоколы аутентификации пользователей

    С точки зрения информационной безопасности любой удаленный пользователь должен быть аутентифицирован, прежде чем сможет получить доступ к ресурсам. Аутентификация происходит непосредственно при попытке клиента установить соединение с сервером удаленного доступа.
  • Протокол RADIUS

    Протокол аутентификации Remote Authentication Dial-in User Service (RADIUS) рассматривается как механизм аутентификации и авторизации удаленных пользователей в условиях распределенной сетевой инфраструктуры, предоставляющий централизованные услуги по проверке подлинности и учету для служб удаленного доступа.
  • Протокол ЕАР

    Протокол ЕАР (Extensible Authentication Protocol) представляет собой расширяемый механизм аутентификации, позволяющий унифицировать процесс проверки подлинности пользователей, предоставляя при этом участникам соединения возможность использования самых разнообразных схем аутентификации.
  • Протокол CHAP. Протокол SPAP.

    Протокол CHAP (Challenge Handshake Authentication Protocol) представляет собой механизм проверки подлинности типа "запрос-ответ", использующий схему хэширования MD-5 для необратимого преобразования пароля пользователя в уникальную последовательность символов.
  • Протоколы MS-CHAP и MS-CHAP v2

    Протокол MS-CHAP (Microsoft Challenge Handshake Protocol) представляет собой реализацию протокола CHAP, предложенную компанией Microsoft. В отличие от CHAP, для хэширования паролей применяется алгоритм MD4. Существует две версии протокола MS-CHAP.
  • Протокол РАР

    Протокол PAP (Password Authentication Protocol) использует пароли, передаваемые открытым текстом, и является самым простым протоколом проверки подлинности пользователей. Обычно соединение на его основе устанавливается, если клиент удаленного доступа и сервер удаленного доступа не могут договориться о более безопасной форме проверки подлинности.
  • Процедура аутентификации удаленного доступа

    Аутентификация пользователей, подключающихся к серверу удаленного доступа под управлением Windows Server 2003, выполняется по следующему сценарию: | Клиент удаленного доступа инициирует процесс подключения к серверу удаленного доступа (например, набирает его телефонный номер).
  • Дополнительные механизмы проверки подлинности удаленного пользователя. Проверка идентификатора звонящего абонента.

    В большинстве случаев для обеспечения безопасности удаленного подключения вполне достаточно использовать протоколы аутентификации, поддерживающие шифрованный обмен данными.
  • Механизм ответного вызова

    Механизм ответного вызова (callback) представляет собой альтернативу проверки идентификатора звонящего абонента, позволяя серверу удаленного доступа убедиться в подлинности абонента, устанавливающего соединение.
  • Удаленный доступ без выполнения процедуры аутентификации пользователя

    Администратор может организовать удаленный доступ к корпоративной сети без необходимости выполнения аутентификации пользователя. Процедура аутентификации предполагает передачу клиентом серверу информации о полномочиях пользователя. В описываемом сценарии подобной передачи не происходит.
  • Блокировка учетной записи

    Архитектура системы безопасности предусматривает возможность блокирования учетной записи удаленного пользователя (account lockout). Эта возможность отменяет разрешение удаленного доступа для учетной записи пользователя после заданного числа неудавшихся попыток проверки подлинности.
  • Шифрование данных

    По соображениям безопасности удаленный доступ к любой конфиденциальной информации должен осуществляться только по защищенному каналу. В ситуации, когда для организации удаленного доступа используются общественные телефонные линии (либо линии, по которым нельзя исключить "снятие" информации), для создания защищенного канала необходимо применять специальные механизмы шифрования.
  • Механизмы управления конфигурацией удаленного подключения. Специальные параметры учетной записи пользователя.

    Настройка параметров удаленного доступа для конкретного пользователя в Windows Server 2003 может быть выполнена двумя способами: либо при помощи специальных атрибутов учетной записи пользователя, либо посредством политик удаленного доступа.
  • Политики удаленного доступа

    В Windows Server 2003 в качестве основного механизма однообразного конфигурирования отдельных компонентов системы используется механизм политик. Для управления удаленным доступом в Windows Sewer 2003 используются политики удаленного доступа (remote access policy).
  • Протоколирование событий

    Требования политики безопасности большинства предприятий предполагают регистрацию всех событий, связанных с действиями удаленных пользователей в рамках корпоративной сети. Сервер удаленного доступа Windows Server 2003 позволяет регистрировать все события, связанные с аутентификацией удаленных пользователей, в специальных журналах.
  • Использование широковещательных рассылок для разрешения имен

    Сервер удаленного доступа под управлением Windows Server 2003 предоставляет возможность удаленным клиентам использовать широковещательные рассылки для разрешения доменных и NetBIOS-имен ресурсов, расположенных в корпоративной сети.
  • Применение разделяемых ключей

    Протокол туннелирования L2TP использует для шифрования пакетов протокол сетевого уровня IPSec. Применение протокола IPSec имеет свои характерные особенности. В частности, протокол содержит механизмы взаимной аутентификации всех участников соединения.
  • Использование сервера удаленного доступа для обслуживания VPN-подключений

    Сервер удаленного доступа под управлением Windows Server 2003 может обслуживать VPN-подключения, выступая в качестве VPN-сервера. Необходимо понимать, что фактически речь идет о все том же удаленном доступе к ресурсам корпоративной сети.
  • Развертывание сервера удаленного доступа

    Чтобы обеспечить работу сервера удаленного доступа на Windows Server 2003, необходимо соответствующим образом сконфигурировать службу маршрутизации и удаленного доступа (Routing and Remote Access Service).
  • Трансляция сетевых адресов (NAT). Компоненты механизма трансляции сетевых адресов.

    Механизм трансляции сетевых адресов (Network Address Translation, NAT) осуществляет преобразование IP-адресов и номеров портов пакетов TCP и датаграмм UDP, которыми обмениваются локальная и внешняя (такая, как Интернет) сети.
  • Понятие частного адреса

    Архитектура стека протоколов TCP/IP требует, чтобы каждый хост в сети имел уникальный IP-адрес. Это требование справедливо и для Интернета. Любой хост, подключающийся к Интернету, должен являться обладателем уникального IP-адреса.
  • Принципы действия NAT

    Для установки соединения используется уникальная связка "адрес-порт". Другими словами, с хостом, имеющим один IP-адрес, может быть установлено множество соединений. Однако каждое из этих соединений будет использовать различные порты.
  • Редакторы NAT

    Работа NAT базируется на анализе заголовков пакетов. Преобразователь адресов извлекает из заголовка пакета информацию о IP-адресах и номерах портов отправителя и получателя пакетов и в соответствии с полученными данными принимает решение о трансляции пакета.
  • Развертывание механизма NAT в корпоративной сети. Выбор схемы адресации.

    Рассмотрим процесс развертывания в корпоративной среде механизма NAT. Прежде чем приступить к конфигурированию службы маршрутизации и удаленного доступа (Routing and Remote Access Service), администратор должен выполнить ряд подготовительных операций.
  • Использование базового брандмауэра. Разрешение входящего соединения.

    В рамках сервера удаленного доступа Windows Server 2003 реализован базовый брандмауэр (basic firewall), представляющий собой механизм динамической фильтрации пакетов. Брандмауэр является одним из механизмов обеспечения безопасности периметра сети, ограничивая трафик через сетевой интерфейс определенными типами пакетов.
  • Конфигурирование механизма NAT с помощью программы-мастера

    Механизм NAT может быть активизирован на любом компьютере под управлением Windows Sewer 2003. Для этого необходимо соответствующим образом сконфигурировать службу маршрутизации и удаленного доступа (Routing and Remote Access Service).
  • Настройка NAT на уже сконфигурированном сервере удаленного доступа

    Если в сети уже имеется функционирующий сервер удаленного доступа (другими словами, на этом компьютере имеется сконфигурированная служба маршрутизации и удаленного доступа), администратор может выполнить активизацию механизма NAT без использования специального мастера конфигурирования.
  • Выбор схемы выделения IP-адресов локальным хостам

    Сервер удаленного доступа, на котором активизирован механизм NAT, может осуществлять автоматическое конфигурирование локальных хостов посредством протокола DHCP. | Чтобы разрешить подобную схему выделения IP-адресов хостам локальной сети, необходимо вызвать окно свойств контейнера NAT/Basic Firewall в пространстве имен оснастки Routing and Remote Access.
  • Выбор схемы разрешения доменных имен

    Помимо динамического выделения адресов хостам локальной сети, сервер удаленного доступа может выполнять разрешение доменных имен в локальной сети. Чтобы обеспечить подобную схему разрешения доменных имен, необходимо вызвать окно свойств контейнера NAT/Basic Firewall в пространстве имен оснастки Routing and Remote Access.
  • Определение диапазона действительных IP-адресов для преобразования

    Активизировав механизм NAT, администратор должен задать для каждого сетевого интерфейса диапазоны IP-адресов, которые будут использоваться данным механизмом для выполнения преобразования. Эта операция выполняется на вкладке Address Pool (Пул адресов) в окне свойств открытого сетевого интерфейса (рис. 14.16). | Нажмите кнопку Add (Добавить) и в открывшемся окне задайте диапазон адресов.
  • Конфигурирование базового брандмауэра

    Как уже упоминалось ранее, в рамках сервера удаленного доступа Windows Server 2003 реализован базовый брандмауэр, задача которого заключается в выполнении фильтрации проходящего через открытый интерфейс трафика.
  • Конфигурирование преобразования специальных портов и служб

    Администратор может выполнить более точную настройку механизма NAT, выполнив конфигурирование специальных портов. Фактически администратор задает специфические правила трансляции пакетов, приходящих на определенные порты.
  • Конфигурирование хостов в локальной сети для работы с NAT

    Хосты локальной сети также нуждаются в дополнительном конфигурировании. | Каждый хост, который будет использовать механизм NAT, должен иметь соответствующую (согласованную с конфигурацией NAT) настройку стека протоколов TCP/IP: | IP-адрес, принадлежащий к разрешенному диапазону частных адресов.
  • Служба факсимильных сообщений

    В Windows Server 2003 (как и в Windows XP) реализована специальная служба факсов (Fax Service), позволяющая администратору организовать отправку и получение факсимильных сообщений на базе персонального компьютера, оборудованного факс-модемом. Идея использования компьютера в качестве факса не нова.
  • Установка службы факсов

    Служба факсов не устанавливается по умолчанию в ходе инсталляции операционной системы. Администратор должен установить ее самостоятельно, предварительно подключив к серверу факс-модем и настроив его соответствующим образом.
  • Конфигурирование службы факсов

    При первом запуске оснастки Fax Console (Консоль факсов) вызывается мастер Fax Configuration Wizard (Мастер настройки факсов), с помощью которого вы можете: | заполнить информацию об отправителе, которая будет отображаться на отсылаемых факсах;
  • Использование службы факсов

    Основные возможности службы факсов перечислены ниже. | Передача сообщения на титульном листе. | Служба факсов позволяет передавать сообщения на титульном листе факса отдельно от документа.
  • Редактор титульных страниц факсов

    Утилита Fax Cover Page Editor (рис. 14.24) позволяет администратору осуществлять редактирование шаблонов титульных листов, которые используются в процессе передачи пользователями факсов. Можно создавать общие титульные листы, чтобы совместно использовать их из нескольких профилей.
  • Диспетчер службы факсов

    В составе службы факсов Windows Server 2003 поставляется специальная утилита Fax Service Manager (Диспетчер службы факсов) (рис. 14.26). | Эта утилита предназначена для централизованного управления серверами, на которых установлены службы факсов.
  • Настройка принтера факсов

    Как уже говорилось, для настройки параметров факса используется Мастер настройки факсов, с помощью которого можно задать как сведения об отправителе, так и параметры работы факсов.
  • Телефония

    В составе Windows Server 2003 реализован API-интерфейс телефонии (Telephony API, TAPI) версии 3.1, обеспечивающий функциональные возможности систем клиент-сервер. Благодаря данному интерфейсу прикладные телефонные программы на клиентском компьютере могут связываться с выделенным компьютером-сервером, который функционирует как шлюз с телефонным коммутатором.
  • IР-телефония. Поставщики услуг IP-телефонии. Групповая конференц-связь по IP.

    В организациях обычно поддерживаются раздельные сети для передачи голоса, данных и видеоинформации. Поскольку все сети имеют различные транспортные требования и физически независимы, их установка, поддержка и реорганизация обходятся дорого.
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.