Глава 19. Коммуникационные службы
Служба удаленного доступа
Служба удаленного доступа, входящая в состав Microsoft Windows 2000, позволяет удаленным или мобильным работникам подключаться к корпоративным вычислительным сетям, например, по телефонной коммутируемой линии и работать с ресурсами сети как обычно. Удаленный доступ также обеспечивает поддержку виртуальных частных сетей (Virtual Private Network, VPN), чтобы пользователи могли устанавливать безопасное соединение с корпоративной сетью через общественные сети, например, через Интернет.
Сервер удаленного доступа в Windows 2000 Server является частью интегрированной службы маршрутизации и удаленного доступа (Routing and Remote Access Service, RRAS). Пользователи устанавливают соединение с сервером удаленного доступа с помощью клиентского программного обеспечения удаленного доступа. Сервер удаленного доступа — компьютер с ОС Windows 2000 Server и установленной службой маршрутизации и удаленного доступа — аутентифицирует как пользователей, так и сеансы связи удаленных маршрутизаторов. Все службы, доступные пользователю, подключенному к LAN (включая совместное использование файлов и принтеров, доступ к веб-серверам и передачу сообщений по электронной почте), доступны и пользователю, подключенному удаленно.
Клиент удаленного доступа использует стандартные средства для доступа к ресурсам. Например, на компьютере под управлением Windows 2000 подключение дисков и принтеров выполняется при помощи Проводника. Подключения постоянны: пользователи не должны повторно подключать сетевые ресурсы в течение сеанса удаленного доступа. Поскольку имена дисков и имена UNC (Universal Naming Convention, универсальное соглашение об именовании) полностью поддерживаются при удаленном доступе, большинство обычных действий пользователей и работа приложений остаются неизменными при работе через удаленный доступ.
Сервер удаленного доступа под управлением Windows 2000 предоставляет два различных типа соединения удаленного доступа:
 |
Коммутируемый доступ.
Это соединение, при котором
клиент удаленного доступа
устанавливает коммутируемую связь
для подключения к физическому порту
на сервере удаленного доступа,
используя службу-посредник для
передачи данных, например аналоговый
телефон, ISDN или Х.25. Наиболее
типичный пример коммутируемого
доступа — установление соединения
клиентом удаленного доступа при
помощи модема, то есть путем набора
телефонного номера одного из портов
сервера удаленного доступа. |
|
|
Виртуальное частное
соединение (VPN-соединение).
Это защищенное соединение типа
"точка-точка" через сеть общего
пользования (например, Интернет) или
большую корпоративную сеть. Чтобы
послать виртуальный запрос к
виртуальному порту на VPN-сервере,
VPN-клиент использует специальные
протоколы на базе стека TCP/IP,
которые называются протоколами
туннелирования (tunneling
protocols). Наиболее типичный пример
организации виртуальной частной сети
— установление соединения
VPN-клиента с частной сетью через
сервер удаленного доступа, который
подключен к Интернету. Сервер
удаленного доступа отвечает на
виртуальный запрос, затем
аутентифицирует вызывающую программу
и осуществляет обмен данными между
клиентом VPN и корпоративной сетью.
В отличие от коммутируемого доступа,
VPN-соединение не является
непосредственным, "прямым"
соединением между VPN-клиентом и
VPN-сервером. Чтобы гарантировать
безопасность, данные, передаваемые
по соединению, нужно шифровать. |
Новые возможности удаленного доступа в Windows 2000
Новые возможности службы удаленного доступа Windows 2000 Server перечислены в табл. 19.1.
Таблица 19.1. Удаленный доступ в Windows 2000 Server
| Возможность | Описание |
| Интеграция с Windows 2000 Active Directory |
Сервер удаленного доступа на
Windows 2000 Server, являющийся
частью домена Windows 2000 и
зарегистрированный в Active
Directory, может обращаться к
параметрам настройки удаленного
доступа для пользователя
(например, к разрешениям
удаленного доступа и параметрам
ответного вызова), которые
хранятся в Active Directory.
После регистрации сервера
удаленного доступа в Active
Directory им можно управлять и
отслеживать его состояние при
помощи средств на базе Active
Directory, например, при помощи
оснастки Маршрутизация и
удаленный доступ
|
| MS CHAP версии 2 |
MS CHAP (Microsoft Challenge
Handshake Authentication
Protocol, Протокол проверки
подлинности
запроса-подтверждения Microsoft)
версии 2 предназначен для обмена
идентификационной информацией и
порождения ключей шифрования во
время установления соединения
удаленного доступа. MS CHAP
версии 2 поддерживает VPN
|
| EAR |
Расширяемый протокол
идентификации (ЕАР, Extensible
Authentication Protocol)
позволяет использовать новые
методы проверки подлинности для
удаленного доступа, включая
реализацию защиты, основанную на
смарт-картах. Интерфейс ЕАР
позволяет подключать модули
проверки подлинности сторонних
производителей
|
| ВАР |
ВАР (Bandwidth Avocation
Protocol, Протокол распределения
полосы пропускания) и ВАСР
(Bandwidth Allocation Control
Protocol, Протокол управления
распределением полосы
пропускания) повышают
эффективность работы
многоканальных РРР-соединений,
динамически подключая или
отключая дополнительные каналы,
приспосабливаясь к изменению
трафика
|
| Политика удаленного доступа (Remote Access Policy) |
Политика удаленного доступа —
набор условий и параметров
настройки соединения, которые
предоставляют большую гибкость
сетевым администраторам по
установке и настройке разрешений
удаленного доступа и атрибутов
соединений
|
| L2TP |
Помимо РРТР, сервер удаленного
доступа Windows 2000
поддерживает протокол L2TP
(Layer 2 Tunneling Protocol,
Протокол туннелирования второго
уровня), являющийся промышленным
стандартом, который используется
вместе с протоколом IPSec для
создания безопасных
VPN-соединений
|
| Поддержка клиентов удаленного доступа Apple Macintosh |
Удаленный доступ в Windows 2000
поддерживает подключение
клиентов удаленного доступа
Apple Macintosh, которые
используют протокол AppleTalk
вместе с протоколом удаленного
доступа AppleTalk (AppleTalk
Remote Access Protocol, ARAP)
или с протоколом PPP
|
| Поддержка широковещания IP (IP Multicast) |
Используя tGMP router and proxy
версии 2 (маршрутизатор и
посредник IGMP), сервер
удаленного доступа поддерживает
обмен групповым IP-трафиком
между клиентами удаленного
доступа и Интернетом или
корпоративной сетью
|
| Блокировка учетной записи (Account lockout) |
Блокировка учетной записи —
функция защиты, которая отменяет
разрешение удаленного доступа
для учетной записи Пользователя
после определенного числа
неудавшихся попыток проверки
подлинности, например, в случае
попыток подбора пароля по
словарю
|
Сравнение средств удаленного доступа в Windows 2000 и Windows NT 4.0
В табл. 19.2 перечислены общие задачи конфигурирования удаленного доступа в Windows 2000. Интерфейс пользователя для выполнения этих задач в Windows 2000 отличается от интерфейсов Windows NT 4.0 и Windows NT 4.0 с установленной службой маршрутизации и удаленного доступа (RRAS).
Таблица 19.2. Настройка удаленного доступа Windows 2000 и Windows NT 4.0
| Действия | Windows NT 4.0 | Windows NT 4.0 с установленной службой RRAS | Windows 2000 |
| Установка, конфигурирование и удаление службы удаленного доступа | Control Panel | Network, вкладка Services | Control Panel | Network, вкладка Services | Оснастка Маршрутизация и удаленный доступ (Routing and Remote Access) |
| Настройка проверки подлинности и параметров шифрования | Control Panel I Network, вкладка Services | Control Panel | Network, вкладка Services | Оснастка Маршрутизация и удаленный доступ |
| Управление серверами и клиентами удаленного доступа | Утилита Remote Access Admin | Утилита Routing and RAS Admin | Оснастка Маршрутизация и удаленный доступ |
| Разрешение удаленного доступа для учетной записи пользователя | Утилита Remote Access Admin или User Manager for Domains | Утилита User Manager for Domains | Оснастка Локальные пользователи и группы (Local Users and Groups) или Active Directory - пользователи и компьютеры (Active Directory Users and Computers) |
Базовые понятия
На сервере удаленного доступа под управлением Windows 2000 установленное сетевое оборудование отображается в виде ряда устройств и портов.
Устройство — аппаратура или программное обеспечение, которое предоставляет службе удаленного доступа порты для установки соединений "точка-точка". Устройства бывают физические, например модем, или виртуальные, например VPN-соединение. Устройства могут поддерживать один порт, например модем, или несколько портов, например банк модемов, который может предоставить 64 независимых входящих аналоговых коммутируемых соединений. Протоколы РРТР или L2TP — примеры виртуальных многопортовых устройств. Каждый из этих туннельных протоколов поддерживает несколько одновременных VPN-соединений.
Порт - отдельный Канал устройства, который может поддерживать одно соединение "точка-точка". Для однопортовых устройств типа модемов "устройство" и "порт" не различаются. Для многопортовых устройств порт — часть устройства, при помощи которого может быть установлено отдельное соединение "точка-точка". Например, адаптер ISDN имеет два В-канала: адаптер ISDN — устройство; каждый В-канал — порт, поскольку соединение "точка-точка" может быть установлено раздельно по каждому В-каналу.
Виртуальное частное соединение, иначе называемое VPN-соединением (Virtual Private Network Connection, соединение виртуальной частной сети) эмулирует соединение "точка-точка". Для эмуляции прямого соединения данные инкапсулируются специальным способом, т. е. снабжаются специальным заголовком, который предоставляет информацию о маршрутизации, чтобы пакет мог достигнуть адресата. Получателем пакета является VPN-клиент, либо VPN-сервер. Часть пути, по которому данные следуют в инкапсулированном виде, называется туннелем.
Для организации безопасной виртуальной частной сети перед инкапсуляцией данные шифруются. Перехваченные по пути следования пакеты невозможно прочитать без ключей шифрования. Участок VPN-соединения, на котором данные передаются в зашифрованном виде, и называется, собственно, виртуальной частной сетью.
VPN-соединения создаются, управляются и уничтожаются с использованием специальных туннельных протоколов или протоколов туннелирования. VPN-клиент и VPN-сервер должны поддерживать один и тот же протокол туннелирования, чтобы создать VPN-соединение. Сервер удаленного доступа под управлением Windows 2000 — VPN-сервер, работающий по протоколам РРТР и L2TP.
| << Глава 18 << | << Содержание >> | >> Далее >> |