Раздел: Документация

0 ... 83 84 85 86 87 88 89 ... 136

in

и удаленный д.гдуг*

Глава 11

S га > & (?

Sunr «««« cw*» № Frtno<» йг*ж<

iiic. 11-2. Оснастка Routing and Remote Access после включения RRAS

► Задание 2: предоставьте разрешение удаленного доступа учетной записи Administrator (Администратор)

1.Откройте оснастку Active Directory Users And Computers (Active Directory - пользователи и компьютеры, если вы работаете на контроллере домена! или Computer Management (Управление компьютером, если вы работаете в составе рабочей группы).

2.Раскройте окно свойств учетной записи Administrator (Администратор), перейдите на вкладку Dail-ln (Входящие звонки) и щелкните переключатель Allow Access (Разрешить доступ).

Удаленный доступ и удаленное управление

Различия между этими режимами таковы;

•сервер удаленного доступа — это программный многопротокольный маршрутизатор, а режим удаленного управления подразумевает совместное использование экрана, клавиатуры и мыши по линии связи. При удаленном доступе приложения запускаются на компьютере-клиенте;

•при удаленном управлении клиенты совместно используют один или несколько ральных процессоров сервера. В этом режиме приложения запускаются на сервере, и процессор сервера удаленного доступа обслуживает подключения клиентов к сетевым ресурсам, а не собственно приложения.

Преимущества использования RRAS

При обновдс! ни Windows NT 4.0 до 2000 вошикаел одна проблема. Windows NT 4.0 применяет учетную запись LocalSystem. Когда какая-нибудь служба запускается под этой учетной записью, имя пользователя и пароль не предоставляются.

Active Directory по умолчанию отклоняет запросы атрибутов объектов через подобные подключения. Поэтому в смешанной среде необходимо предусмотреть, чтобы серверы RAS Windows NT 4.0 и RRAS Windows 2000 могли получать параметры удаленного доступа для подключающихся польювателеи из Active Directory. Серверам такой доступ необходим для ответа на вопрос, уполномочен ли пользователь подключаться, и выяснения других параметров соединения, например номеров обратного

---

Прй8*3заний Если для учетной записи не заданы ре кип .a iлм (как R случае с I.ocalSy aemi. получить доступ к сетевым ресурсам на основе аутентификации NT 1..М не удастся. Для организации такого доступа на удаленном компьютере надо явно разрешить подобны: подключения.

Условия обновления RAS

Чтобы сервер RAS Windows NT 4.0 мог получать сведения о пользователе in Active Directory, надо выполнить одно из условий:

•домен работает в смешанном режиме, и сервер RRAS одновременно играет роль резервного контроллера домена. В этой ситуации RRAS имеет доступ к локальной БД безопасности;

•домен работает в смешанном режиме, и сервер RRAS получает информацию о подключающемся пользователе от резервного контроллера домена. Это также гсшсшхт получить доступ к локальной БД безопасности;

домен работает в смешанном или естественном режиме, и зашита Active ОмесИлл ослаблена после присвоения группе Everyone (Все) разрешений на чтение любого свойства любого объекта пользователя. Та!,ля"*а>нф,п ураппя задается мастером установки Active Directory (программой DCPROMO.EXE) при выборе параметра Permission Compatible With Pre-Windows 2000 Server.

Примечание Если ослабить защиту Active Directory и не установитьRRAS на

резервном контроллере домена, подключение будет нестабильным. Даже если ваш домен работает в смешанном режиме, не удастся настроить сервер RRAS, чтобы он соединялся с резервным контроллером домена только для аутентификации. Если проверку подлинности выполняет контроллер домена Windows 2(Ю<1. подключение будет отклонено.

Параметр Permission Compatible With Pre-Windows 2000 Server включает группу Everyone ib локальную группу Pre-Windows 2000 Compatible Access (Пред-Windows 2000 доступ). Вы можете ужесточитьудалив последней группу Everyone, после

всех серверов удален hoi о доступа до Windows 2000.

трюк с группой Every one. только если хорошо представляете его воздействие на безопасность Active Directory. Если в вашей ситуации ослабление зашиты неприемлемо, обновите сервер RRAS Wndows NT 4.0 до Windows 2000 и включите его в домен Wndows 2000 смешанного или естественного режима. Это поможет стабилизировать телефонный доступ во время работы домена врежиме.

Если вы хотите ослабить защиту, чтобы серверы RRAS Windows NT 4.0 могли работать и после установки Active Directory, добавьте группу Everyone в группу Pre-Windows 2000 Compatible Access, введя команду net localgroup «Рге-Windows 2000 Compatible Access* Everyone /add.

Резюме

Вы получили представление об основных функциях удаленного доступа, включая обнаружение маршрутизатора, NAT, ммоюадреснуто маршрутизацию, протокол L2TP, службу 1AS и политику удаленного доступа. Также вы научились запускать службу RRAS.

---

Настройка сервера RRAS

После включения RRAS вы можете настроить обслуживание входишкч подключений, ограничить удаленный доступ средствами политики, добавить профили удален:п.гч пользователей и контролировать доступ с помощью протокола ВАР.

Изучив материал этоговы сможете:

разрешить входящие подключения; создать политики удаленного доступа; настроить профиль удаленного доступа; настроить протокол ВАР.

Продолжительность занятия - около 25 минут.

Включение входящих подключений

При первом запуске RRAS автоматически создаются 5 портов РРТР и 5 портов L2TP (рис. 11-3). Число доступных любому удаленному серверу VPN-портов не ограничено. Вы вправе настроить порты R папке Ports (Порты) дереве консоли оснастки Routing and Remote Access (Маршрутизация и удаленный доступ).

til НцгмЧч Ar.-ii i

ел»,> ~ ЕГ Ж й> В Ш G?

. РоД»

J *

- Ш i

3«we Status

LONDON!

6 Ж IPP&ubng RenxjteAccess PoteW-s Г. 1 Р-#яи<- 4ct«i LoQcjnq

	i C4v<o ) C(
l£?-"MPJ Mirepcrt {PPTP,<VF1*}--1}	W4
IS WAN Mlnjtwf (РРТР)	.<W4
	«N
M WrtHWj»yn>JOlfyfNli\W{i	1
Щ #АЫ Htievl (PPTP) NP№-Q) Э WAN -»\f .п. г rt*tp) Г PI -1	VPN
	VPTI
	WW
	me
	I"-.	KVM-
	VPN

Рис. 11-3. Список портов

В папку Ports также можно добавить параллельный порт. Последовательные коммуникационные порты будут отображаться только после установки модема. Оба типа портов способнывходящие и исходящие подключения.

Создание политики удаленного доступа

Политика удаленного доступа — это именованны:! набор условий (рис.определяю-

щий пользователей, которым разрешен удаленный доступ к сети, и характеристики этого подключения. Принятие или отклонение подключения зависит от разных параметров: даты и времени подключения, членства в группе, типа службы и т. п. Например, вы можете разрешить подключение по IDSN длительностью не более 30 минут без передачи пакетов HTTP.

0 ... 83 84 85 86 87 88 89 ... 136