Установка, настройка и сопровождение служб совместного доступа в интернет. Сервер удалённого дос (стр. 2 из 4)

1.1.4 Протоколы удаленного доступа

Протоколы удаленного доступа управляют установлением соединения и передачей данных по WAN-каналам. Выбор протокола удаленного доступа на клиентском компьютере диктуется тем, какая операционная система и какие LAN-протоколы установлены на клиенте и сервере удаленного доступа.

Существует три типа протоколов удаленного доступа, поддерживаемых Windows 2000.

1. РРР (Point-to-Point Protocol) — стандартный набор протоколов, обеспечивающий максимальную защиту, поддержку множества протоколов и взаимодействие с другими операционными системами.

2. SLIP (Serial Line Internet Protocol) используется на устаревших версиях серверов удаленного доступа.

3. Microsoft RAS (также называемый Asynchronous NetBEUI, или AsyBEUI) - протокол удаленного доступа, используемый унаследованными клиентскими системами Microsoft, например Windows NT 3.1, Windows for Workgroups, MS-DOS и LAN Manager.

1.2 Элементы защиты удаленного доступа

Поскольку клиент удаленного доступа бесшовно подключается к сети и содержащимся в ней конфиденциальным данным, при удаленном доступе очень важно обеспечить должную защиту. Windows 2000 предусматривает самые разнообразные средства защиты, в том числе защищенную аутентификацию пользователей, взаимную аутентификацию (клиента и сервера), шифрование данных, ответный вызов и идентификацию звонящего.

1.2.1 Защищенная аутентификация пользователей

Защищенная аутентификация пользователей достигается за счет обмена удостоверениями (учетными данными) пользователей в шифрованном виде и поддерживается РРР в сочетании с одним из протоколов аутентификации: ЕАР (Extensible Authentication Protocol), MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) версий 1 и 2, CHAP (Challenge Handshake Authentication Protocol) или SPAP (Shiva Password Authentication Protocol). Сервер удаленного доступа можно настроить так, чтобы он требовал применения защищенной аутентификации. Если клиент удаленного доступа не в состоянии выполнить это требование, его запрос на соединение отклоняется.

1.2.2 Неаутентифицируемые соединения

Windows 2000 также поддерживает иеаутснтифицируемые РРР-соединения. При установлении таких соединений этап аутентификации пропускается. Ни клиент удаленного доступа, ни сервер удаленного доступа не обмениваются своими удостоверениями. К использованию неаутентифицируемых соединений следует относиться очень внимательно, так как они предоставляются без проверки идентификации удаленных клиентов.

Неаутентифицируемые соединения желательны в двух случаях:

1. При аутентификации на основе ANI/CLI (Automatic Number Identification/Calling Line Identification). В этом случае аутентификация осуществляется по номеру телефона клиента. ANI/CLI возвращает получателю вызова номер телефона клиента — такая услуга предоставляется большинством телефонных компаний. Аутентификация на основе ANI/CLI отличается от аутентификации по идентификатору звонящего. При аутентификации по идентификатору звонящего клиент передает имя и пароль пользователя. Идентификатор звонящего, который настраивается в параметрах входящих звонков в окне свойств учетной записи пользователя, должен совпадать с идентификатором, указываемым при попытке подключения; в ином случае попытка подключения игнорируется. А при аутентификации на основе ANI/CLI имя и пароль пользователя не применяются.

2. Аутентификация гостей. В качестве идентификации клиента используется учетная запись Guest (Гость).

1.3 LAN-протоколы

Это протоколы, используемые клиентом удаленного доступа для обращения к ресурсам в сети, к которой подключен сервер удаленного доступа. Средства удаленного доступа в Windows 2000 поддерживают TCP/IP, IPX, AppleTalk и NetBEUI.

1.3.1 TCP/IP

Для настройки ТСР/IP-клиента удаленного доступа в IPCP-процессе согласования сервер удаленного доступа назначает клиенту IP-адрес и сообщает IP-адреса DNS- и WINS-серверов.

1.3.2 Назначение IP-адреса

Чтобы выделить IP-адрес клиенту, сервер удаленного доступа использует либо DHCP (Dynamic Host Configuration Protocol), либо статический пул IP-адресов.

1.4 DHCP и автоматическое назначение частных IP-адресов

Если сервер удаленного доступа настроен на получение IP-адресов через DHCP, то DHCP-сервер выделяет службе маршрутизации и удаленного доступа 10 IP-адресов. Сервер удаленного доступа использует для интерфейса сервера RAS первый, полученный от DHCP адрес, а остальные адреса назначает по мере подключения новых ТСР/IР-клиентов удаленного доступа. Освобождающиеся при отключении клиентов IP-адреса используются повторно.

Если сконфигурирован статический пул IP-адресов, сервер удаленного доступа использует первый IP-адрес из первого диапазона адресов для интерфейса RAS-cepвера, а последующие адреса присваиваются по мере подключения новых TCP/IP-клиентов удаленного доступа. IP-адреса, освобожденные в результате отключения клиентов удаленного доступа, используются повторно.

2. ПРАКТИЧЕСКАЯ ЧАСТЬ

2.1 Сервер подключения к Интернету.

1. В меню Пуск(Start) раскрыл меню Программы(Programs), Администрирование(Administrative Tools) и запустил оснастку Маршрутизация и удалённый доступ( Routing and Remote Access)(Рисунок 1).

Рисунок 1. Запуск службы RRAS

2. Правой кнопкой мыши щёлкнул на имени сервера и в контекстном меню выбрал команду Настроить и включить маршрутизацию и удалённый доступ(Configure and Enable Routing and Remote Access) (Рисунок 2).

Рисунок 2. Настройка и включение маршрутизации и удаленного доступа

3. В диалоговом окне приветствия мастера установки сервера маршрутизации и удалённого доступа (Routing and Remote Access Server Setup Wizard) нажал кнопку Далее(Next) (Рисунок 3).

Рисунок 3. Мастер настройки сервера

4. В диалоговом окне Общие параметры (Common Configurations) выбрал конфигурацию Сервер подключения к Интернет и нажал кнопку Далее (Next) (Рисунок 4).

Рисунок 4. Окно общие параметры

5. В диалоговом окне Установка сервера подключения к Интернет для более полного администрирования сервера выбрал параметр "Установить маршрутизатор с протоколом преобразования сетевых адресов (NAT)" и нажал кнопку Далее (Next) (Рисунок 5).

Рисунок 5. Окно установка сервера подключения к Интернет

6. В диалоговом окне Подключение к Интернет выбрал внешнее подключение в Интернет и нажал кнопку Далее (Next) (Рисунок 6).

Рисунок 6. Окно подключения к Интернет

7. В окне завершения конфигурирования сервера нажал кнопку Готово (Finish) (Рисунок 7).

Рисунок 7. Завершение работы мастера

8. Чтобы назначить IP-адреса клиентам, зашёл в IP-маршрутизация/NAT-преобразование сетевых адресов. В этом окне видны используемые интерфейсы преобразования сетевых адресов. Щёлкнул правой кнопкой на NAT-преобразование сетевых адресов и в контекстном меню выбрал Свойства (Рисунок 8).

Рисунок 8. Свойства NAT

9. На вкладке Назначение адресов выставил галку Автоматически назначать IP-адреса с использованием DHCP и указал необходимый диапазон адресов (Рисунок 9).

Рисунок 9. Вкладка назначение адресов

10. Для использования службы DNS на вкладке Разрешение имён в адреса поставил галку для клиентов, использующих службу DNS и подтвердил изменение параметров кнопкой ОК (Рисунок 10).

Рисунок 10. Вкладка разрешение имен в адреса

2.2 Сервер удалённого доступа

4. В диалоговом окне Общие параметры (Common Configurations) выбрал конфигурацию Сервер удалённого доступа (Remote Access Server) и нажал кнопку Далее (Next) (см. приложение 1 рисунок 14).

5. В диалоговом окне Установка сервера удалённого доступа выбрал тип конфигурации Установка расширенного сервера удалённого доступа и нажал кнопку Далее (Next) (см. приложение 1 рисунок 15).

6. В диалоговом окне Протоколы удаленных клиентов (Remote Client Protocols) проверил, что в списке присутствуют все протоколы, требуемые для работы удаленных клиентов, и нажал кнопку Далее (Next) (см. приложение 1 рисунок 16).