-
Служба удаленного доступа, входящая в состав Microsoft Windows 2000, позволяет удаленным или мобильным работникам подключаться к корпоративным вычислительным сетям, например, по телефонной коммутируемой линии и работать с ресурсами сети как обычно.
-
Новые возможности службы удаленного доступа Windows 2000 Server перечислены в табл. 19.1. | Таблица 19.1. Удаленный доступ в Windows 2000 Server. | Возможность | Описание | Интеграция с Windows 2000 Active Directory
-
В табл. 19.2 перечислены общие задачи конфигурирования удаленного доступа в Windows 2000. Интерфейс пользователя для выполнения этих задач в Windows 2000 отличается от интерфейсов Windows NT 4.0 и Windows NT 4.0 с установленной службой маршрутизации и удаленного доступа (RRAS). | Таблица 19.2.
-
На сервере удаленного доступа под управлением Windows 2000 установленное сетевое оборудование отображается в виде ряда устройств и портов. | Устройство – аппаратура или программное обеспечение, которое предоставляет службе удаленного доступа порты для установки соединений "точка-точка".
-
Необходимо учитывать протоколы, используемые в настоящий момент в сети – это может повлиять на планирование, интеграцию и настройку удаленного доступа. Удаленный доступ в Windows 2000 поддерживает транспортные протоколы TCP/IP, IPX/SPX, AppleTalk и NetBEUI.
-
IPX – протокол, применяемый в сетях на базе Novell NetWare. Будучи маршрутизируемым, протокол IPX подходит для организации глобальных корпоративных сетей.
-
При инсталляции Windows 2000 Server по умолчанию устанавливается и служба маршрутизации и удаленного доступа (RRAS). Однако изначально она не активизирована. | Примечание | Чтобы устанавливать и конфигурировать сервер удаленного доступа, нужно быть членом группы Администраторы (Administrators).
-
Модемы наиболее часто применяются для установления коммутируемого соединения. Модемы предоставляют возможность установления соединения на скорости до 33.6 Кбит/с по обычной аналоговой телефонной линии или 57.6 Кбит/с при наличии специального оборудования на сервере.
-
Можно объединить два компьютера без модема при помощи прямого последовательного соединения. Для него не требуется сетевой адаптер, но это очень медленное соединение. Конфигурация "нуль-модем" функционирует лучше всего на компьютерах, физически расположенных близко друг от друга.
-
Удаленный доступ Windows 2000 поддерживает многоканальное соединение и протокол ВАР. При помощи многоканального соединения несколько физических линий представляются в виде одного логического соединения, которое используется для приема и передачи данных.
-
Компоненты коммутируемого доступа в Windows 2000 описаны в табл. 19.3. | Таблица 19.3. Компоненты коммутируемого доступа. | Компонент | Описание | Серверы коммутируемого доступа | Можно настроить сервер удаленного доступа, работающий под управлением Windows 2000, чтобы он предоставлял доступ ко всей сети или только к ресурсам сервера удаленного доступа | Клиенты коммутируемого доступа
-
Для администрирования сервера удаленного доступа под управлением Windows 2000 служит оснастка Маршрутизация и удаленный доступ (рис. 19.4). С ее помощью можно просматривать подключенных пользователей и управлять трафиком удаленного доступа.
-
Клиентом коммутируемого доступа, который подключается к серверу удаленного доступа под управлением Windows 2000, может быть компьютер с Windows NT, Windows 2000, Windows 98, Windows 95, Windows for Workgroups, MS-DOS, LAN Manager или любой РРР-клиент.
-
Перечисленные в табл. 19.5 клиенты не могут использовать протокол удаленного доступа РРР, но поддерживаются сервером удаленного доступа под управлением Windows 2000 при помощи протокола Microsoft RAS. Этот протокол удаленного доступа поддерживает в качестве транспортного только протокол NetBEUI.
-
Протоколы удаленного доступа управляют передачей данных через глобальную сеть (например, через телефонную сеть или сеть Х.25). Операционная система и транспортные протоколы, используемые клиентами и серверами удаленного доступа, определяют, какой протокол удаленного доступа могут использовать клиенты (табл. 19.6). | Таблица 19.6. Протоколы удаленного доступа, поддерживаемые Windows 2000.
-
Виртуальные частные сети (Virtual Private Network, VPN) на базе Windows 2000 включают компоненты, указанные в табл. 19.7. | Таблица 19.7. Компоненты VPN. | Компонент | Краткое описание | Серверы VPN | Сервер VPN предоставляет доступ ко всей сети или только к общим ресурсам самого сервера
-
Клиентом виртуальной частной сети, который соединяется с серверами удаленного доступа под управлением Windows 2000, может быть Windows NT 4.0, Windows 95 или Windows 98 (табл. 19.8). | Для того чтобы принимать/передавать пакеты TCP/IP серверу удаленного доступа, клиенту требуется сетевой адаптер или модем и аналоговая телефонная линия или другое подключение к WAN (ISDN, X.25 и т. п.). | Таблица 19.8.
-
В табл. 19.10 кратко описаны протоколы туннелирования, используемые VPN-сервером в среде Windows 2000. | Таблица 19.10. Протоколы туннелирования. | Протокол | Описание | РРТР | Point-to-Point Tunneling Protocol (Протокол туннелирования "точка-точка", РРТР) – промышленный стандарт de facto для протоколов туннелирования, впервые появившийся в Windows NT 4.0.
-
Проверка подлинности клиентов удаленного доступа – важная часть системы безопасности. Методы проверки подлинности обычно.используют протокол проверки подлинности во время установления соединения. Windows 2000 также поддерживает доступ без проверки подлинности.
-
Сервер удаленного доступа под управлением Windows 2000 Server может использовать систему безопасности главного контроллера домена (PDC) Windows NT (Windows NT 4.0 Server и более ранние) или систему безопасности Windows 2000 Active Directory (Windows 2000 Server) при получении информации для проверки подлинности пользователей удаленного доступа.
-
Windows 2000 поддерживает также доступ без проверки подлинности (табл. 19.12), который означает, что серверу удаленного доступа не требуется идентификационная информация пользователя (имя пользователя и пароль). | Таблица 19.12. Варианты доступа без проверки подлинности.
-
При помощи ЕАР (Extensible Authentication Protocol, расширяемый протокол идентификации) можно подключить любой механизм проверки подлинности (аутентификации), который будет проверять достоверность информации о пользователе, установившем соединение удаленного доступа.
-
Windows 2000 включает поддержку MS CHAP (Microsoft Challenge Handshake Protocol, протокол проверки подлинности запроса-подтверждения Microsoft), также известный как MS CHAP версии 1. MS CHAP – это протокол проверки подлинности с необратимым шифрованием пароля.
-
Протокол проверки подлинности CHAP – протокол проверки подлинности типа "запрос-ответ", использующий схему хэширования MD-5 (Message Digest, дайджест сообщения) для шифрования ответа. CHAP используется различными производителями ПО серверов и клиентов удаленного доступа.
-
Для защиты данных, передаваемых между клиентом и сервером удаленного доступа, можно использовать шифрование. Шифрование данных важно для финансовых учреждений, правоохранительных и правительственных органов и корпорации, которым требуется безопасная передача данных.
-
После того как установлен сервер удаленного доступа, нужнб определить, какие пользователи могут устанавливать соединение с ним. Для Windows 2000 разрешение удаленного доступа определяется политикой удаленного доступа и учетной записью пользователя.
-
При настройке защиты удаленного доступа на использование Caller ID (идентификатор звонящего абонента) задается телефонный номер, с которого пользователь должен осуществлять связь. Если пользователь производит попытку соединения с другого номера, сервер удаленного доступа отклоняет ее.
-
Если применяется ответный вызов, пользователь инициализирует запрос и соединяется с сервером удаленного доступа (табл. 19.14). Сервер удаленного доступа после проверки подлинности пользователя "вешает трубку" и осуществляет ответный вызов по номеру, определенному звонящим пользователем или заданному администратором.
-
Хост безопасности – устройство проверки подлинности сторонних производителей, которое проверяет, имеет ли вызывающий клиент удаленного доступа разрешение на соединение с сервером удаленного доступа. Эта проверка дополняет систему безопасности, предоставляемую сервером удаленного доступа под управлением Windows 2000. | Хост безопасности располагается между клиентом и сервером удаленного доступа.
-
Сервер удаленного доступа Windows 2000 поддерживает два типа регистрации. | Регистрация событий RAS – регистрация событий в журнале событий системы Windows 2000. Обычно используется для решения проблем или уведомления системных администраторов о необычных событиях.
-
Политика удаленного доступа – набор условий и параметров соединения которые предоставляют сетевому администратору больше гибкости в настройке разрешений удаленного доступа и атрибутов соединения. Политика удаленного доступа хранится на локальном компьютере.
-
Политика удаленного доступа – именованное правило, в которое входят следующие элементы: условия, разрешение (право) удаленного доступа, а также профиль. | Условия (Conditions) | Условия политики удаленного доступа – это один или несколько атрибутов (рис. 19.7, табл.
-
Политика удаленного доступа по умолчанию (default policy) работает так: удаленный доступ с ее использованием разрешается, если для устанавливающего входящее соединение пользователя предоставлено разрешение удаленного доступа.
-
Средство NAT (Network Address Translation, преобразование (трансляция) сетевых адресов) в Windows 2000 позволяет легко подключить домашнюю сеть или сеть малого офиса к Интернету. NAT состоит из следующих компонентов.
-
Чтобы устанавливать соединение с ресурсами Интернета, необходимо использовать адреса, распределенные центром Network Information Center (Информационный центр сети Интернет, InterNIC). Такие адреса могут получать трафик от служб межсетевой сети и называются public-адресами (public address).
-
Если сеть малого предприятия использует идентификатор сети 192.168.0.0 для интрасети и имеется public-адрес a.b.c.d, полученный от Интернет-провайдера, то NAT отображает все частные адреса в сети 192.168.0.0 в IP-адрес a.b.c.d.
-
По умолчанию NAT транслирует IP-адреса и TCP/UDP-порты. Если IP-адрес и информация о порте содержатся только в заголовках IP и TCP/UDP, то прикладной протокол также будет правильно транслироваться nat!
-
Прежде чем реализовать сеть с преобразованием адресов, рассмотрим некоторые аспекты ее построения, описанные в следующих разделах, чтобы избежать проблем. | Частные сетевые адреса | Необходимо использовать IP-адреса, выделенные InterNIC для частных IP-сетей (см. выше).
-
Обычно NAT используется в домашней или малой сети, чтобы разрешить исходящие соединения (из частной сети в общую сеть). Приложения типа веббраузеров, работающих в частной сети, создают соединения с ресурсами Интернета.
-
Чтобы сконфигурировать компьютер-преобразователь адресов, необходимо выполнить следующие действия: | Сконфигурировать IP-адрес домашнего сетевого интерфейса. | Для IP-адреса адаптера LAN, соединенного с домашней сетью, необходимо задать следующие значения: | IP-адрес: 192.168.0.1
-
Можно настроить протокол TCP/IP на других компьютерах в сети малого офиса или в домашней сети, чтобы они получали IP-адреса автоматически. | Когда компьютеры в домашней сети получают свой IP-адрес с компьютера, на котором функционирует NAT, получаемая ими конфигурация будет следующей. | IP-адрес
-
Для добавления преобразователя сетевых адресов (NAT) необходимо в окне оснастки Маршрутизация и удаленный доступ в разделе Маршрутизация IP (IP Routing) щелкнуть правой кнопкой мыши на узле Общие (General) и выбрать из появившегося контекстного меню команду Новый протокол маршрутизации (New Routing Protocol).
-
Для добавления интерфейса для преобразования адресов необходимо в окне оснастки Маршрутизация и удаленный доступ в разделе Маршрутизация IP (IP Routing) щелкнуть правой кнопкой мыши на узле Преобразование сетевых адресов (NAT) (Network Address Translation (NAT)) и из появившегося контекстного меню выбрать команду Новый интерфейс (New Interface). | Далее, выбрать нужный интерфейс и нажать кнопку ОК.
-
Для разрешения адресации следует в окне оснастки Маршрутизация и удаленный доступ в разделе Маршрутизация IP (IP Routing) щелкнуть правой кнопкой мыши на узле Преобразование сетевых адресов (NAT) и в появившемся контекстном меню выбрать команду Свойства.
-
Чтобы разрешить распознавание имен для преобразования адресов в окне оснастки Маршрутизация и удаленный доступ, в разделе Маршрутизация IP (IP Routing) щелкните правой кнопкой мыши на узле Преобразование сетевых адресов (NAT) и в появившемся контекстном меню выберите команду Свойства.
-
Для конфигурирования диапазонов IP-адресов для преобразования в окне оснастки Маршрутизация и удаленный доступ в разделе Маршрутизация IP (IP Routing) разверните узел Преобразование сетевых адресов (NAT), щелкните правой кнопкой мыши на нужном интерфейсе и выберите в появившемся контекстном меню команду Свойства.
-
Служба факсов (Fax Service) позволяет посылать и получать факсимильные сообщения без использования дополнительных программ, поскольку все, что для этого нужно, – факс-модем. Можно легко передавать по факсу документы при помощи команды Печать, которая обычно имеется в текстовых процессорах, электронных табличных процессорах и в приложениях других типов.
-
Передача сообщения на титульном листе. | Службу факсов позволяет передавать сообщения на титульном листе факса отдельно от документа. В Редакторе титульных страниц факсов (Fax Cover Page Editor) можно создать любой титульный лист по желанию пользователя или выбрать один из имеющихся шаблонов титульных листов. Мастер рассылки факсов автоматически вносит информацию о получателе и отправителе (рис.
-
Программное обеспечение для поддержки телефонии – API-интерфейс телефонии (Telephony API, TAPI). TAPI обеспечивает функциональные возможности систем клиент-сервер; таким образом, прикладные телефонные программы на клиентском компьютере могут связываться с выделенным компьютером-сервером, который функционирует как шлюз с телефонным коммутатором.
-
Компьютерная телефония позволяет настольным компьютерам взаимодействовать с аппаратными средствами телефонии, обычно РВХ, через механизмы интеграции компьютера и телефонии (Computer-Telephony Integration, CTI).
-
В TAPI (рис. 19.23) включены отдельные поставщики услуг, включая те, которые позволяют реализовать клиент-серверные возможности, например, Microsoft Windows Remote Service Provider (Поставщик удаленных услуг Microsoft Windows).
-
В организациях обычно поддерживаются раздельные сети для передачи голоса, данных и видеоинформации. Поскольку все сети имеют различные транспортные требования и физически независимы, их установка, поддержка и реорганизация обходятся дорого.