配置×××服务器
7.1?? 遠(yuǎn)程訪問概述
通過將“路由和遠(yuǎn)程訪問”配置為遠(yuǎn)程訪問服務(wù)器,可以將遠(yuǎn)程或移動(dòng)工作人員連接到組織網(wǎng)絡(luò)上。遠(yuǎn)程用戶可以像計(jì)算機(jī)物理地連接到網(wǎng)絡(luò)上一樣工作。 用戶運(yùn)行遠(yuǎn)程訪問軟件,并初始化到遠(yuǎn)程訪問服務(wù)器上的連接。遠(yuǎn)程訪問服務(wù)器,即運(yùn)行“路由和遠(yuǎn)程訪問”的服務(wù)器,會(huì)始終驗(yàn)證用戶和服務(wù)會(huì)話,直到用戶或網(wǎng)絡(luò)管理員將其終止為止。那些在一般情況下適用于 LAN 連接用戶的所有服務(wù)(包括文件和打印共享、Web 服務(wù)器訪問和消息)均通過遠(yuǎn)程訪問連接啟用。 遠(yuǎn)程訪問客戶端使用標(biāo)準(zhǔn)工具來訪問資源。例如,在運(yùn)行“路由和遠(yuǎn)程訪問”的服務(wù)器上,客戶端可以使用 Windows 資源管理器來進(jìn)行驅(qū)動(dòng)器連接,并連接到打印機(jī)上。連接是持久的:在遠(yuǎn)程會(huì)話期間,用戶不需要重新連接到網(wǎng)絡(luò)資源上。因?yàn)閷?duì)于驅(qū)動(dòng)器標(biāo)識(shí)字母和通用命名約定 (UNC) 所命名的名字,遠(yuǎn)程訪問都支持,所以大多數(shù)商業(yè)和自定義應(yīng)用程序不許要修改就可以使用。 運(yùn)行“路由和遠(yuǎn)程訪問”的服務(wù)器可以提供兩個(gè)不同類型的遠(yuǎn)程訪問連接。- 撥號(hào)網(wǎng)絡(luò)(dial-up network) 通過使用遠(yuǎn)程通信提供商(例如模擬電話、ISDN 或 X.25)提供的服務(wù),遠(yuǎn)程客戶端使用非永久的撥號(hào)連接到遠(yuǎn)程訪問服務(wù)器的物理端口上,這時(shí)使用的網(wǎng)絡(luò)就是撥號(hào)網(wǎng)絡(luò)。撥號(hào)網(wǎng)絡(luò)的最佳范例是撥號(hào)網(wǎng)絡(luò)客戶端使用撥號(hào)網(wǎng)絡(luò)撥打遠(yuǎn)程訪問服務(wù)器某個(gè)端口的電話號(hào)碼。
模擬電話線上或 ISDN 的撥號(hào)網(wǎng)絡(luò),是撥號(hào)網(wǎng)絡(luò)客戶端和撥號(hào)網(wǎng)絡(luò)服務(wù)器之間的直接的物理連接。可以加密通過該連接發(fā)送的數(shù)據(jù),但并不要求一定這樣做。 - 虛擬專用網(wǎng)(×××—virtual private network) 虛擬專用網(wǎng)是穿越專用網(wǎng)絡(luò)或公用網(wǎng)絡(luò)(如 Internet)的、安全的、點(diǎn)對(duì)點(diǎn)連接的產(chǎn)物。虛擬專用網(wǎng)客戶端使用特定的,稱為隧道協(xié)議的基于 TCP/IP 的協(xié)議,來對(duì)虛擬專用網(wǎng)服務(wù)器的虛擬端口進(jìn)行依次虛擬呼叫。虛擬專用網(wǎng)的最佳范例是,虛擬網(wǎng)絡(luò)客戶端使用虛擬專用網(wǎng)連接連接到與 Internet 相連的遠(yuǎn)程訪問服務(wù)器上。遠(yuǎn)程訪問服務(wù)器應(yīng)答虛擬呼叫,驗(yàn)證呼叫方身份,并在虛擬專用網(wǎng)客戶端和企業(yè)網(wǎng)絡(luò)之間傳送數(shù)據(jù)。
與撥號(hào)網(wǎng)絡(luò)相比,虛擬專用網(wǎng)始終是通過公用網(wǎng)絡(luò)(如 Internet)在虛擬專用網(wǎng)客戶端和虛擬專用網(wǎng)服務(wù)器之間的一種邏輯的、非直接的連接。要保證隱私權(quán),必須加密在連接上傳送的數(shù)據(jù)。
7.2?? ×××概述
隨著網(wǎng)絡(luò),尤其是網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展,企業(yè)規(guī)模日益擴(kuò)大,客戶分布日益廣泛,合作伙伴日益增多,在這種情況下,傳統(tǒng)企業(yè)網(wǎng)基于定地點(diǎn)的專線連接方式,已難以適應(yīng)現(xiàn)代企業(yè)的需求。于是企業(yè)在自身的靈活性、安全性、經(jīng)濟(jì)性、擴(kuò)展性等方面提出了更高的要求。虛擬專用網(wǎng)(×××)以其獨(dú)具特色的優(yōu)勢(shì),贏得了了越來越多的企業(yè)的青睞。 有研究機(jī)構(gòu)表明,如果企業(yè)采用×××替代租用DDN專線,其整個(gè)網(wǎng)絡(luò)成本可節(jié)約21%—45%,若替代撥號(hào)連網(wǎng)方式,可節(jié)約通信成本上50%—80%,×××的優(yōu)勢(shì)顯而易見。 虛擬專用網(wǎng)(×××)代表了當(dāng)今網(wǎng)絡(luò)發(fā)展的新趨勢(shì),它綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的性能優(yōu)點(diǎn)(安全和Qos)和共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點(diǎn)(簡(jiǎn)單和低成本),能夠提供遠(yuǎn)程訪問,內(nèi)外網(wǎng)的連接,在降低成本的同時(shí)滿足了對(duì)網(wǎng)絡(luò)帶寬、接入和服務(wù)不斷增加的需求,因此,×××必將成為未來企業(yè)傳輸業(yè)務(wù)的主要工具。 在Windows server 2003中,我們可以使用“路由和遠(yuǎn)程訪問”以配置 ××× 服務(wù)器、查看已連接的用戶及監(jiān)視遠(yuǎn)程訪問通信。 對(duì)于從 Internet 上訪問虛擬專用網(wǎng),通常情況下,服務(wù)器具有到 Internet 的永久性連接。如果 Internet 服務(wù)提供商 (ISP) 支持請(qǐng)求撥號(hào)連接,則可能存在到 Internet 上的非永久性連接;在將通信傳遞給 ××× 服務(wù)器時(shí)創(chuàng)建連接。然而,這不是常規(guī)配置。如果 ××× 服務(wù)商提供對(duì)網(wǎng)絡(luò)的訪問,則必須安裝獨(dú)立的網(wǎng)絡(luò)適配器,并將其連接到 ××× 服務(wù)器提供訪問的網(wǎng)絡(luò)上。 在 Windows Server?2003 Web Edition 和 Windows Server?2003 Standard Edition 上,您最多可以創(chuàng)建 1,000 個(gè)點(diǎn)對(duì)點(diǎn)隧道協(xié)議 (PPTP) 端口,最多可以創(chuàng)建 1,000 個(gè)兩層隧道協(xié)議 (L2TP) 端口。但是,Windows Server?2003 Web Edition 一次只能接收一個(gè)虛擬專用網(wǎng) (×××) 連接。而Windows Server?2003 Standard Edition 最多可以接受 1,000 個(gè)并發(fā)的 ××× 連接。如果已經(jīng)連接了 1,000 個(gè) ××× 客戶端,則其他連接嘗試將被拒絕,直到連接數(shù)目低于 1,000 為止。7.2.1 ×××的組件<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
一個(gè)虛擬專用網(wǎng)包括以下組件:- 虛擬專用網(wǎng) (×××) 服務(wù)器 可以配置 ××× 服務(wù)器以提供對(duì)整個(gè)網(wǎng)絡(luò)的訪問,或限制僅可訪問作為 ××× 服務(wù)器的計(jì)算機(jī)的資源
- ××× 客戶端 ××× 客戶端是獲得遠(yuǎn)程訪問 ××× 連接的個(gè)人用戶或獲得路由器到路由器 ××× 連接的路由器。運(yùn)行 Windows Server?2003 家族產(chǎn)品、Windows?XP、Windows?2000、Windows?NT?4.0、Windows?95、Windows?98 或 Windows Millennium Edition 的 ××× 客戶端可以創(chuàng)建到 ××× 服務(wù)器的遠(yuǎn)程訪問 ××× 連接。運(yùn)行 Windows Server?2003 家族產(chǎn)品、Windows?2000 和“路由和遠(yuǎn)程訪問”或 Windows?NT Server?4.0 和“路由和遠(yuǎn)程訪問服務(wù) (RRAS)”的計(jì)算機(jī)可創(chuàng)建路由器到路由器的 ××× 連接。××× 客戶端也可以是任何點(diǎn)對(duì)點(diǎn)隧道協(xié)議 (PPTP) 客戶端或使用 Internet 協(xié)議安全性 (IPSec) 的第二層隧道協(xié)議 (L2TP) 客戶端。
- LAN 和遠(yuǎn)程訪問協(xié)議 應(yīng)用程序使用 LAN 協(xié)議傳輸信息。遠(yuǎn)程訪問協(xié)議用于協(xié)商連接,并為通過廣域網(wǎng) (WAN) 鏈接發(fā)送的 LAN 協(xié)議數(shù)據(jù)提供組幀。“路由和遠(yuǎn)程訪問”支持 PPP 遠(yuǎn)程訪問協(xié)議。Windows Server?2003 Datacenter Edition、Windows Server?2003 Enterprise Edition、Windows Server?2003 Web Edition 和 Windows Server?2003 Standard Edition 都支持諸如 TCP/IP 和 AppleTalk 的 LAN 協(xié)議,用這些協(xié)議可以訪問 Internet、UNIX、Apple Macintosh 和 Novell NetWare 資源。
- 隧道協(xié)議 ××× 客戶端通過使用 PPTP 或 L2TP 隧道協(xié)議,可創(chuàng)建到 ××× 服務(wù)器的安全連接。
- WAN 選項(xiàng) 通過使用諸如 T1 和“幀中繼”的永久性 WAN 連接,將 ××× 服務(wù)器連接到 Internet。通過使用永久性 WAN 連接,或撥入(使用標(biāo)準(zhǔn)模擬電話線或 ISDN)到本地 Internet 服務(wù)提供商 (ISP),將 ××× 服務(wù)器連接到 Internet。
- 安全選項(xiàng) “路由和遠(yuǎn)程訪問”通過支持登錄和域安全,以及對(duì)安全主機(jī)、數(shù)據(jù)加密、智能卡、IP 數(shù)據(jù)包篩選和呼叫器 ID 的支持來為 ××× 客戶端提供安全網(wǎng)絡(luò)訪問。
<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />7.2.2 ×××隧道協(xié)議
×××的隧道協(xié)議包含:- 點(diǎn)對(duì)點(diǎn)隧道協(xié)議 PPTP 是點(diǎn)對(duì)點(diǎn)協(xié)議 (PPP) 的擴(kuò)展,并協(xié)調(diào)使用 PPP 的身份驗(yàn)證、壓縮和加密機(jī)制。PPTP 的客戶端支持內(nèi)置于 Windows?XP 遠(yuǎn)程訪問客戶端。其是在 Windows?NT?4.0 和 Windows?98 中首次被支持的隧道協(xié)議。
PPTP 的 ××× 服務(wù)器支持內(nèi)置于 Windows Server 2003 家族的成員。PPTP 與 TCP/IP 協(xié)議一同安裝。根據(jù)運(yùn)行“路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)?/span>”時(shí)所做的選擇,PPTP 可以配置為 5 個(gè)或 128 個(gè) PPTP 端口。
PPTP 和 Microsoft“點(diǎn)對(duì)點(diǎn)加密 (MPPE)”提供了對(duì)專用數(shù)據(jù)封裝和加密的主要 ××× 服務(wù)。 - 第二層隧道協(xié)議 第二層隧道協(xié)議 (L2TP) 是基于 RFC 的隧道協(xié)議,該協(xié)議是一種業(yè)內(nèi)標(biāo)準(zhǔn),首次是在 Windows?2000 客戶端和服務(wù)器操作系統(tǒng)中所支持。與 PPTP 不同,運(yùn)行 Windows Server 2003 的服務(wù)器上的 L2TP 不利用 Microsoft 點(diǎn)對(duì)點(diǎn)加密 (MPPE) 來加密點(diǎn)對(duì)點(diǎn)協(xié)議 (PPP) 數(shù)據(jù)報(bào)。L2TP 依賴于加密服務(wù)的 Internet 協(xié)議安全性 (IPSec)。L2TP 和 IPSec 的組合被稱為 L2TP/IPSec。L2TP/IPSec 提供專用數(shù)據(jù)的封裝和加密的主要虛擬專用網(wǎng) (×××) 服務(wù)。
××× 客戶端和 ××× 服務(wù)器必須支持 L2TP 和 IPSec。L2TP 的客戶端支持內(nèi)置于 Windows?XP 遠(yuǎn)程訪問客戶端,而 L2TP 的 ××× 服務(wù)器支持內(nèi)置于 Windows Server 2003 家族的成員。
7.2.3 ×××連接
×××通過Internet而不是通過直接的撥號(hào)連接,來提供安全的遠(yuǎn)程訪問。×××客戶機(jī)利用專用網(wǎng)絡(luò)上的一個(gè)×××網(wǎng)關(guān),采用IP互聯(lián)網(wǎng)來創(chuàng)建加密的、虛擬的、點(diǎn)對(duì)點(diǎn)連接。 通常,用戶通過因特網(wǎng)服務(wù)提供商(ISP—Internet service provider)連接到因特網(wǎng),然后再創(chuàng)建一個(gè)到×××網(wǎng)關(guān)的連接。按照這種方式來使用因特網(wǎng),公司就可以降低他們的長(zhǎng)途話費(fèi),可以依賴現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ),而不用再重新建立他們的基礎(chǔ)結(jié)構(gòu)。 ×××協(xié)議將數(shù)據(jù)包封裝進(jìn)PPP數(shù)據(jù)包。遠(yuǎn)程訪問服務(wù)器執(zhí)行所有的安全性檢查及核實(shí),并且利用數(shù)據(jù)加密功能,這樣使得通過不安全的網(wǎng)絡(luò)(如因特網(wǎng))發(fā)送數(shù)據(jù)也是比較安全的。7.2.4 客戶機(jī)IP地址的分配方式
當(dāng)你通過配置×××,使之讓客戶使用撥號(hào)網(wǎng)絡(luò)連接到公司網(wǎng)絡(luò)時(shí),×××服務(wù)器會(huì)為自己和客戶均重新分配一個(gè)用于通信的IP地址。 你可以選擇下列選項(xiàng)中的一種,來確定客戶機(jī)接收IP地址的方式。- 靜態(tài)的IP地址(Static IP Address)由管理員在用戶的“撥入”屬性中進(jìn)行手動(dòng)的設(shè)置。你需要保證該IP地址對(duì)于客戶的網(wǎng)絡(luò)連接是有效的,并且保證沒有其它客戶機(jī)使用了這個(gè)相同的地址。鑒于此,建議對(duì)于撥叼網(wǎng)絡(luò)不使用靜態(tài)的IP地址。
- 來自一個(gè)IP地址范圍(From a Range of IP Addresses)由管理員在×××服務(wù)器中添加一個(gè)有足夠數(shù)目并可供分配的IP地址范圍。
- 從DHCP服務(wù)器獲取(From the DHCP Server)×××服務(wù)器可以從網(wǎng)絡(luò)中某個(gè)DHCP服務(wù)器獲取IP地址,默認(rèn)的情況下每次會(huì)從DHCP服務(wù)器處獲取10個(gè)地址,并總是把第一個(gè)IP地址分配給自己,其余的IP地址分配給遠(yuǎn)程撥入用戶。當(dāng)用完了這10個(gè)IP后,×××服務(wù)器會(huì)再?gòu)?/span>DHCP服務(wù)器處獲取10個(gè)IP地址以分配給撥入的客戶。
7.3?? ×××的配置
7.3.1 企業(yè)背景
你的公司有一些雇員,他們出差到了較遠(yuǎn)的地方。你沒有足夠的資源來建立一個(gè)全球范圍的網(wǎng)絡(luò),以便允許撥號(hào)連接到這些地方。這樣你就準(zhǔn)備在因特網(wǎng)上配置一個(gè)×××服務(wù)器,從而可以讓員工通過×××連接來連接到你的網(wǎng)絡(luò)上。7.3.2 配置步驟
l???在服務(wù)器上創(chuàng)建入站連接 l? ??配置用戶的撥入權(quán)限 l? ??在客戶端創(chuàng)建出站連接 l? ??建立并斷開連接 ?7.3.2.1 在服務(wù)器上創(chuàng)建入站連接
當(dāng)你在遠(yuǎn)程訪問服務(wù)器(如×××服務(wù)器)上配置入站連接時(shí),就會(huì)啟用一個(gè)端口,通過該端口,客戶機(jī)可以連接到你的服務(wù)器。 配置步驟如下: 1、以管理員身份登錄到一臺(tái)運(yùn)行Windows Server?2003 Enterprise Edition版的服務(wù)器上,在“管理工具”,選擇“路由和遠(yuǎn)程訪問”。 2、在控制臺(tái)樹中,右擊服務(wù)器名稱,再單擊“配置并啟用路由和遠(yuǎn)程訪問”。然后啟動(dòng)“ 路由和遠(yuǎn)程訪問”。 3、在“配置并啟用路由和遠(yuǎn)程訪問向?qū)А绊?yè)中,單擊“下一步”,進(jìn)入“配置”頁(yè)。在此頁(yè), “遠(yuǎn)程訪問和服務(wù)器”為我們列出了可以選擇的的各種服務(wù),在這里,我們應(yīng)該項(xiàng)選擇的是“遠(yuǎn)程訪問(撥號(hào)或×××)”,單擊“下一步”。 4、在“遠(yuǎn)程訪問”頁(yè)中選區(qū)中“×××”。單擊“下一步”。 5、在接下來的網(wǎng)絡(luò)連接接口選擇中,根據(jù)實(shí)際的連接選擇正確的連接內(nèi)網(wǎng)和外網(wǎng)的網(wǎng)絡(luò)適配器。 6、在“IP地址指定”頁(yè)中,選擇“來自一個(gè)指定的地址范圍”,然后單擊“下一步”。 7、在“地址范圍指定”頁(yè)中,建立地址靜態(tài)池。點(diǎn)擊“新建”,輸入地址靜態(tài)池起始和結(jié)束的IP地址,這些IP地址將用于分配給撥入的客戶機(jī)。地址池可以建立多個(gè)子網(wǎng)的IP范圍,然后單擊“下一步”。 8、在“管理多個(gè)遠(yuǎn)程訪問服務(wù)器”頁(yè)中,在不設(shè)置此服務(wù)器使用RADIUS的情況下,單擊“下一步”。 9、按默認(rèn)設(shè)置來完成路由和遠(yuǎn)程訪服務(wù)器安裝向?qū)А?/span> 10、在“路由和遠(yuǎn)程訪問”控制臺(tái)中,右擊服務(wù)器下拉菜單中的“端口”,然后單擊“屬性”。×××默認(rèn)的PPTP和L2TP協(xié)議的端口數(shù)均為128個(gè),在這里可以根據(jù)企業(yè)實(shí)際要求進(jìn)行修改,如修改為5個(gè)。7.3.2.2配置用戶的撥入權(quán)限
為了讓遠(yuǎn)程用戶能夠撥入,你必須在服務(wù)器端為之建立一個(gè)帳戶,并允許其以某種方式進(jìn)行撥入連接。 配置步驟如下: 1、以管理員身份登錄到×××服務(wù)器,在“管理工具”中打開“計(jì)算機(jī)管理”(如在域中,則需打開“活動(dòng)目錄用戶和計(jì)算機(jī)”)。并為將要撥入的用戶創(chuàng)建一個(gè)用戶帳號(hào)(如用戶名為U1)。 2、在用戶“屬性”對(duì)話框中,選中“撥入”選項(xiàng)卡,在“遠(yuǎn)程訪問權(quán)限”的設(shè)置值中選中“允許訪問”單選框。7.3.2.3在客戶端創(chuàng)建出站連接
出站連接是那些從客戶端到服務(wù)器的連接。具體的配置步驟如下: 1、以管理員身份登錄到一臺(tái)客戶機(jī),右鍵桌面上的“網(wǎng)上鄰居”圖標(biāo),然后單擊“屬性”。 2、在“網(wǎng)絡(luò)和撥號(hào)連接”窗口中,雙擊“新建立連接向?qū)А薄T凇熬W(wǎng)絡(luò)連接類型”頁(yè)中選中“連接到我的工作場(chǎng)所”單選框,然后單擊“下一步”按鈕。3、在接下來的步驟中,按要求輸入公司的名稱COP和電話號(hào)碼。 4、在“目標(biāo)地址”頁(yè)中,輸入×××服務(wù)器的IP地址,然后單擊“下一步”按鈕。 5、如果想要這一連接可用于這臺(tái)計(jì)算機(jī)的所有用戶,請(qǐng)單擊“用于所有用戶”,然后單擊“下一步”按鈕。 6、按默認(rèn)設(shè)置完成用戶出站連接的配置,并在桌面上創(chuàng)建一個(gè)出站連接的快捷圖標(biāo)。
7.3.2.4建立并斷開連接
在服務(wù)器端我們完成了入站連接,并對(duì)用戶分配了撥入權(quán)限,在客戶端我們也完用戶建立了撥出連接,使遠(yuǎn)程用戶可以通過這個(gè)出站連接連接到公司的×××服務(wù)器。現(xiàn)在我們以下面步驟對(duì)上面的配置作一個(gè)驗(yàn)證。 1、登錄到已配置了出站連接的客戶機(jī)上,右鍵桌面上的“網(wǎng)上鄰居”圖標(biāo),然后單擊“屬性”。 2、在“網(wǎng)絡(luò)和撥號(hào)連接”窗口中,右鍵單擊“虛擬專用網(wǎng)絡(luò)”圖標(biāo),在彈出的下攔菜單中選中“連接”。出現(xiàn)正在注冊(cè)你的計(jì)算機(jī)的消息框。 3、在連接成功后,會(huì)在任務(wù)欄的右下方產(chǎn)生一個(gè)小圖標(biāo),并指示×××連接已經(jīng)成功。4、在命令提示符下,鍵入ipconfig,然后按Enter 鍵。可以看到網(wǎng)絡(luò)和撥號(hào)連接PPP adapter 的相關(guān)信息。可以看到獲取了一個(gè)PPP adapter的IP地址。(在服務(wù)器端也可用個(gè)命令查看是否也獲取了一個(gè)PPP adapter地址) 5、仔細(xì)比較,看服務(wù)器將那個(gè)IP分配給了自己,將哪些IP分配給了客戶。 6、用Ping命令ping服務(wù)器端分配的PPP adapter的IP地址,也可用之訪問服務(wù)器上的共享資源。 7、在任務(wù)欄的系統(tǒng)方格中,雙擊連接圖標(biāo)。 8、在“虛擬專用連接狀態(tài)”對(duì)話框中,單擊“斷開連接”。 9、關(guān)閉所有打開的窗口。 ?
轉(zhuǎn)載于:https://blog.51cto.com/yaozefeng/294543
總結(jié)
- 上一篇: 适合办公的笔记本电脑
- 下一篇: 微软MCP之SharePoint2007