微软在Windows 2000 Server 内提供的远程网络服务,较之以前版本有不少新特点:首先,远程访问服务可以和Windows 2000 Active Directory集成在一起,作为Windows 2000 域的一部分。其次,提供更可靠的安全控制(如:MS-CHAP V2、可扩展的身份验证协议、RADIUS 客户、账户锁定等),更方便的管理手段(如:路由和远程访问管理、带宽分配协议、远程访问策略),更多种的远程服务协议(如:支持第二层隧道协议、支持 AppleTalk Macintosh客户机远程访问 、转发IP多播通讯)。
Windows 2000采用的远程访问方式,是远程客户方式(与之对应的是远程控制方式),在此方式下需要在服务器上安装远程服务软件,或者专门设立一个远程访问服务器。远程客户机与在本地的客户机的操作相比,只是接入方式不同而已,客户使用标准工具(如:Windows 资源管理器)访问资源。 Windows 2000的远程访问服务器,是作为“路由和远程访问”服务的一部分,可以提供两种不同的远程访问连接方式:1. 拨号网络连接;2. 虚拟专用网络连接。
远程访问(RAS)可以让用户使用一台调制解调器和一条普通电话线拨入一台计算机或计算机网络,并访问共享资源,按照微软的说法,两台计算机之间的拨号连接就是网络连接。因此,拨号网络提供与用网卡连接的网络所具有的同样的一套网络服务,不同的只是网络数据是通过调制解调器进行路由的,而不是通过网卡进行路由的。
一、 远程访问能为我们做什么?
可以通过企业局域网提供的远程访问服务来实现以下工作:
1、访问电子邮件;
2、网络上文档的同步拷贝;
3、发布打印作业给网络打印机;
4、通过代理服务器访问因特网;
5、从网络上拷贝文件,或将文件拷贝到网络上;
6、访问一台数据库服务器。
二、 安装远程访问的前期准备
1、准备一台拨号服务器,配置要求普通服务器即可!在服务器上安装Windows 2000 Server操作系统。最好将服务器设为主域控制器(即安装完操作系统后,还要进入"配置服务器"安装Active Directory)。
2、安装并配置一台客户机,普通PC机即可!在客户机上安装Windows 98或Windows 2000 Professional操作系统。
3、在服务器和客户机上各安装一台调制解调器,并各接一条普通电话线,客户机也可以用无线卡实现无线联网。
通过执行如下操作来检查调制解调器(MODEM)的安装是否正确:
控制面板-->电话和调制解调器选项—>调制解调器—>属性-->诊断-->查询调制解调器
4、在服务器和客户机上各安装TCP/IP协议。
三、 安装和配置拨号服务器
1、进入配置程序:点击“开始”à“程序”à“管理工具”à“路由和远程访问”。
2、添加拨号服务器:在配置程序的左边窗口看看有没有服务器,服务器名即为本机计算机名为“CBSW(本地)”,如果没有,可以点击“操作”--“添加服务器”,选择“这台计算机”然后点击“确定”。
3、配置并启用远程访问:右键单击“CBSW(本地)”à“配置并启用路由和远程访问”à“下一步”à在“公共设置”中选择“远程访问服务器”à在“远程客户协议”中选择“TCP/IP”并选上“所有要求的协议都在此列表中”;
然后“下一步”à在“IP地址指定”中,选择“来自一个指定的地址范围”,点击“下一步”à在“地址指定范围”中,点击“新建”à在“新建地址范围”中,要根据目前局域网所处的IP地址段而决定,比如目前公司局域网的IP地址段为:192.168.1.1—192.168.1.255,子网掩码为255.255.255.0, 则现在可以在地址段中拿出一段IP地址就可以实现多用户同时拨入;
比如现在可以在 ”起始IP地址” 处填入:192.168.1.100,” 在 ”结束IP地址"处填入:192.168.1.200,地址数为:101。
点击‘确定’à‘下一步’à在‘管理多个远程访问服务器’中选择‘不,我现在不想设置此服务器使用RADIUS(O)’,因为目前只有一个远程访问服务器,然后‘下一步’à‘完成’。这时系统会花几分钟时间来启动‘远程访问服务’。
四、 设置拨入用户
1、创建远程访问用户:
执行: 控制面板à管理工具à计算机管理à 用户,按右键à新用户;
新建用户: remote , 密码:remote ;
将‘用户不能更改密码’和‘密码永不过期’选上,然后点击‘下一步’à‘完成’。
2、给用户拨入权限:
执行: 控制面板à管理工具à计算机管理à 用户àremote, 按右键à属性;
进入‘拨入’选项,在‘远程访问权限’中选择‘允许访问’,然后点击‘确定’。
五、 设置客户机 (以Windows 98系统为例)
1、双击‘我的电脑’--‘拨号网络’,如果没有‘拨号网络’,请进入‘控制面板’中的‘添加删除程序’添加‘拨号网络组件’。
2、双击‘新建新连接’,对方计算机名称填入:公司拨号服务器,并选择正确的调制解调器。然后点击‘下一步’。
3、输入电话号码:应输入与服务器连接的电话线的电话号码。
4、点击‘下一步’--‘完成’。这时拨号网络中就创建了名为‘公司拨号服务器’的拨号连接。
5、点击 ‘公司拨号服务器’à右键à属性àTCP/IPà属性à选择”” 自动获得IP地址,”” 自动获得DNS服务器地址”。
六、 实现远程访问
在客户机上利用拨号连接(‘公司拨号服务器’)可以实现对公司局域网的远程访问:双击‘拨号服务器’,然后输入用户名:remote,密码:remote。点击"连接"后,大约过一至两分钟就会连上公司服务器,这时,这台客户机在功能上与公司局域网中的客户机没什么两样了,可以进行文件传送、数据库访问了!
附 录:
一.远程访问服务器的管理
远程访问服务器启用后,日常的管理还是较方便的,主要在“管理工具”→“路由和远程访问”窗口进行。下面就具体介绍远程访问服务器几种日常管理方法。
1.重新配置远程访问服务器
从“树”中选择要设置的远程访问服务器,右击鼠标选择浮动选单的“属性”项。将会出现远程访问服务器属性对话框,在此你可以重新设置远程访问服务器验证的安全策略、远程客户IP地址分配方式、PPP的属性和事件日志的策略。
2.使用远程访问策略
“远程访问策略”是Windows 2000新引入的安全机制,不仅Windows 2000 路由远程访问服务器,用它来决定接受或拒绝连接尝试,Windows 2000 Internet 验证服务器 (IAS)也使用远程访问策略。远程访问策略设置的具体方法和步骤,在线帮助十分详细(有具体方案),不再赘述。顺便说一下,Windows 2000“远程访问策略”,对于网络管理员来说绝对是一个好东西,值得好好研究。
3.对已拨入的远程客户的管理
对于已经拨入RAS服务的远程客户和客户机,可以通过图2所示窗口中,选择“远程访问客户端”,然后在窗口左边的详细窗格选中用户。右击鼠标,可以察看用户的状态、强制断开用户的连接、向远程用户发送消息等。
如果你通过电话线实现远程连接,只要利用Windows 95/98安装好调制解调器和拨号网络程序,就可实现与远程访问服务器的连接,与你拨入ISP的方法没有什么区别。不过需要注意“拨号网络/属性”中“服务器类型”标签的配置要和服务器端一致。连入远程访问服务器后,你就可以使用标准工具(如:网络邻居)访问资源,除了速度慢些外和在局域网上没有任何区别。
二.在安全方面的几点建议
在局域网上提供远程访问服务后,对局域网的安全管理来说是一个不小的挑战。下面把在远程访问服务器安全管理工作中需要注意的几个方面列出,供参考。
1. 不允许除Win 2000的远程访问服务器以外的机器应答远程访问请求,整个网络最好只有一处提供远程访问服务。
2. 设专门的远程访问服务器,并将该服务器置于中心机房。
3. 使用远程访问策略,控制远程访问客户的拨入时间。对于偶尔使用远程访问可以采用人工控制远程服务器的启动和停止。
4. 对固定的用户最好采取回叫的方式实现远程连接,当然这要增加电话费,但这是远程访问最重要的安全策略。
5. 通过远程访问服务器的IP地址分配,限制远程用户的IP地址,进而利用防火墙控制和隔离远程访问客户。
6. 对于远程访问的口令采取某种加密鉴别(如:MS-CHAP),以保证用户口令在远程线路上安全传送。
本文地址:http://com.8s8s.com/it/it33807.htm