Новые возможности службы удаленного доступа в Windows Server 2003
Служба маршрутизации и удаленного доступа, реализованная в Windows Server 2003, характеризуется новыми функциональными возможностями, перечисляемыми ниже.
- Поддержка механизма разделяемых ключей для аутентификации в случае использования протоколов L2TP/IPSec. Разделяемым ключом (pre-shared key) называется последовательность символов, известная клиенту и серверу удаленного доступа. Этот ключ используется для аутентификации участников соединения удаленного доступа в ситуации, когда применяются защищенные протоколы L2TP/IPSec. Использование механизма разделяемых ключей позволяет администратору отказаться от развертывания инфраструктуры открытых ключей (Public Key Infrastructure, PKI).
- Интеграция механизма трансляции сетевых адресов (NAT) со встроенным брандмауэром. Реализованный в Windows Sewer 2003 встроенный брандмауэр может быть использован для фильтрации пакетов, обрабатываемых транслятором сетевых адресов. Благодаря этому администратор может обеспечить должный уровень безопасности корпоративной сети при организации ее взаимодействия с открытыми сетями (такими, как Интернет).
- Поддержка защищенных соединений, осуществляемых посредством протоколов L2TP/IPSec, механизмом трансляции сетевых адресов (NAT). Windows Server 2003 позволяет использовать механизм трансляции сетевых адресов для организации виртуальных частных сетей. Фактически речь идет о том, что соединение с виртуальной частной сетью может быть создано через интерфейс NAT.
- Поддержка широковещательного метода разрешения имен вместо использования серверов имен. В сети Windows Server 2003 пользователи могут использовать символические имена для ссылки на ресурсы. Однако для установки соединения эти имена должны быть разрешены в соответствующие IP-адреса. Традиционным методом разрешения имен в корпоративной сети является использование специальных серверов имен (таких, как WINS и DNS). Однако в небольших сетях развертывание этих служб может быть неоправданным. Чтобы предоставить удаленным пользователям возможность использования символических имен для ссылки на ресурсы корпоративной сети, администратор может разрешить использование широковещательных рассылок для разрешения этих имен в IP-адреса. В сетях, насчитывающих десятки и сотни удаленных пользователей, использование широковещательных рассылок может привести к падению производительности сети. С другой стороны, если корпоративная сеть реализована в виде нескольких физических подсетей, соединенных маршрутизаторами, использование широковещательных рассылок для разрешения имен может быть неэффективным, поскольку широковещательные сообщения маршрутизаторами не ретранслируются.
Далее следует отметить другие характерные особенности службы удаленного доступа Windows Server 2003, значительно расширяющие возможности администратора.
- Интеграция с Active Directory. Сервер удаленного доступа Windows Server 2003, являющийся частью домена Windows и зарегистрированный в каталоге, может обращаться к параметрам настройки удаленного доступа пользователя (например, к разрешениям удаленного доступа и параметрам ответного вызова), которые хранятся в Active Directory. После регистрации сервера удаленного доступа в Active Directory им можно управлять и отслеживать его состояние при помощи стандартных инструментов.
- Поддержка протокола аутентификации MS-CHAP версии 2. Протокол проверки подлинности запроса-подтверждения (Microsoft Challenge Handshake Authentication Protocol, MS-CHAP v2) предназначен для аутентификации участников соединения и создания ключей шифрования непосредственно во время установления соединения удаленного доступа. Протокол MS-CHAP v2 может быть также использован для аутентификации участников соединения при построении виртуальных частных сетей.
- Поддержка протокола аутентификации ЕАР. Расширяемый протокол аутентификации ЕАР (Extensible Authentication Protocol) позволяет использовать новые методы проверки подлинности участников подключения удаленного доступа, включая реализацию защиты, основанную на смарт-картах. Интерфейс ЕАР позволяет подключать модули проверки подлинности сторонних производителей.
- Поддержка протокола ВАР. Протокол распределения полосы пропускания ВАР (Bandwidth Allocation Protocol), а также протокол управления распределением полосы пропускания ВАСР (Bandwidth Allocation Control Protocol) повышают эффективность работы многоканальных РРР-соединений, динамически подключая или отключая дополнительные каналы, приспосабливаясь к изменению трафика.
- Механизм политик удаленного доступа. Под политикой удаленного доступа понимается набор условий и параметров настройки соединения, предоставляющих сетевым администраторам большую гибкость по установке и настройке разрешений удаленного доступа и атрибутов соединений.
- Поддержка клиентов удаленного доступа Macintosh. Служба маршрутизации и удаленного доступа Windows Server 2003 позволяет обслуживать подключение клиентов удаленного доступа Apple Macintosh, использующих протокол AppleTalk вместе с протоколом удаленного доступа ARAP (AppleTalk Remote Access Protocol) или с протоколом РРР.
- Поддержка широковещательных адресов IP (IP multicast). Используя механизм IGMP router and proxy версии 2 (маршрутизатор и посредник IGMP), сервер удаленного доступа может поддерживать обмен групповым IP-трафиком между клиентами удаленного доступа и Интернетом или корпоративной сетью.