远程访问服务培训讲座.ppt

《远程访问服务培训讲座.ppt》由会员分享，可在线阅读，更多相关《远程访问服务培训讲座.ppt（39页珍藏版）》请在金锄头文库上搜索。

1、远程访问服务,主讲：汤亮,本章目标,了解远程访问的作用和意义 掌握远程访问服务器的配置方法 掌握客户机网络连接的配置方法 掌握远程访问策略的使用 掌握远程访问的一些排错方法,远程访问服务概述,远程访问服务（RAS）提供了两种连接方式 拨号网络 虚拟专用网络,好像客户机直接连接在局域网上一样,拨号网络组件,拨号网络客户端 远程访问服务器 WAN结构 远程访问协议 LAN协议,公共交换电话网PSTN 综合业务数字网ISDN 非对称数字用户线ADSL,点到点协议PPP 串行线路网际协议SLIP Microsoft RAS协议,TCP/IP,IPX,NetBEUI,win2003的远程访问,数据传输通

2、信协议 远程客户端通过远程访问服务器连接与访问本地网络的资源时须用到下面协议： 1、 LAN通讯协议： NETBEUI、TCP/IP、IPX/SPX、AppleTalk协议等 AppleTalk远程访问协议：ARAP 使Apple Macintosh客户机可访问2003远程访问服务器 反之，2003客户不能访问ARAP远程访问服务,2、 远程访问通讯协议： 1） SIIP（串行线路网际协议）：使用UNIX系统的远程访问协议。 注：A、 客户端IP地必须为静态 B、 不支持DHCP和WINS。 C、 局域网支协议只能为TCP/IP协议 D、 以明文传送密码 E、 效率较高 F、WIN2000/2

3、003客户端可以使用SLIP协议连接UNIX系统RAS服务器，但WIN2000/2003服务器不支持SIIP协议。,2） PPP（点对点协议）：工业标准协议，当前被子广泛使用。 注：A、 能够支持各种局域网协议； B、 WIN2000/WIN2003的RAS只支持 NETBEUI、TCP/IP、 IPX/SPX协议； C、 WINDOWS客户端只支持NETBEUI 、TCP/IP、 IPX/SPX ，AppleTalk的Macintosh客户端可以通过此协议来连接WIN2003的RAS，但WINDOWS客户端不可以连接ARAP（AppleTalk Remote Access Protocol）

4、的RAS。,3、MICROSOFT RAS协议:MICROSOFT专有的通信协议，只支持NETBEUI协议。,远程拔号服务 可以让远程客户端利用电话线通过MODEM 、ISDN、 X.25等连接远程访问服务器，从而访问本地资源。,远程拔号连接方式,1、PSTN（公用交换电话网） 注：1） 公用交换电话网； 2） 电话线； 3） 调制解调器； 4） 传输速率33.6K-53K,最大 56K； 5） 带宽不足，传输接入慢，传输质量差，不够安全。,2、ISDN（综合业务数字网） 注： 电话线； ISDN适配器 ， NT（网络终端），俗称“一线通”； 传输数字信号； 基本速率的ISDN 提供2个B信道

5、，一个D信道， B信道传输速率为64K D 信道传输速率为16K 基本速率可将2个B信道整合即2B+D，高级速率可将23个B信道整合，23B+D,3、ADSL（非对称数字用户线路）：适用中小型企业及居民用户的技术。 1）电话线、ADSL适配器,(ADSL MODEM)； 2）上传和下载速率不同，上传640K2M.下载1.5M8M；,VPN概述,Internet VPN通道,节约成本，提高了安全性,VPN组件,VPN客户端 VPN服务器 隧道 VPN连接 隧道协议 传输互联网络,配置远程访问服务,激活路由和远程访问服务 配置远程访问服务器 配置客户机网络连接,Internet网络接口,设置为Wi

6、ndows身份验证,激活路由和远程访问服务,配置远程访问服务器的属性,常规 安全 IP PPP 日志,身份验证方式采用Windows身份验证,IP地址的分配有2种 动态主机配置协议和静态地址池,利用DHCP将IP地址分配给远程访问客户机,如果DHCP服务器是可用的 如果DHCP服务器是不可用的 将某些DHCP选项指定给拨号用户 可使用默认的路由和远程访问类CLASS,远程访问服务器一次从DHCP服务器获得10个IP地址 第一个地址给自己使用,远程访问服务器使用APIPA地址169.254.0.0/16,配置端口,配置用户拨入属性,配置客户机网络连接,连接VPN服务器,客户端获得专用IP地址,输

7、入UNC路径“10.1.1.2doc”访问局域网中的文件服务器,配置多链路连接(两端必须都起用),A,B,A,B,C,远程访问 服务器,多链路带BAP,按需动态增/减链路,远程访问 服务器,多链路,多链路技术 将多个物理链路结合成一个逻辑束，以增加带宽，如4*128=512Kpbs PPP多链路协议 BAP带宽分配协议 提供动态的多链路支持 服务器配置 RRAS服务器属性PPP 多重链接连接 使用BAP或BACP的动态带宽控制,在远程访问客户机上配置多链路 相应连接属性常规 选择连接使用的多个设备 选项（选一个） 只拨叫第一个可用的设备（等于没启动多重连接功能） 拨叫所有设备（等于起用了多重连

8、接功能） 只根据需要拨叫设备 自动拨号：带宽高于75% 持续维持2分钟，自动增加拨号连接一线 自动挂段：带宽低于10% 持续维持2分钟，自动挂段其中连接一线,实验,背景 IBM公司出差的员工需要访问公司局域网的文件服务器上的共享文件夹doc 文件服务器的IP地址为10.1.1.2 出差的员工使用VPN连接到公司局域网，VPN服务器的IP为192.168.1.2 出差员工的计算机的OS为Windows XP ，IP地址为192.168.1.11（假设以上2个IP地址为互联网的IP地址） 出差员工如何能使用UNC路径“10.1.1.2doc”访问局域网中的文件服务器 目标 激活路由和远程访问服务

9、配置用户拨入属性 配置客户机网络连接 验证能够利用VPN访问局域网,远程访问策略,用于决定用户是否有权连接远程访问服务器. 注: 1）如果有多条远程访问策略,则系统会逐一匹配,只要其中一个为允许,则该用户可以连接； 2）远程访问策略的内容：A、 策略内容 B、 策略属性 C、 配置文件,3）规则： A、匹配策略条件：若策略条件允许,则匹配用户拔入权限；反之,则用户不可以连接； B、匹配拔入权限：若拔入权限允许,则匹配配置文件，若拔入权限拒绝,则用户不可以连接,若拔入权限为“通过远程访问策略控制访 问”,则匹配策略属性，若策略属性允许,则匹配配置文件,若拒绝则用户不可以连接； C、匹配配置文件：

10、若配置文件允许,则用户可以连接,反之则不可以连接。,远程访问策略的组成,条件,配置文件,远程访问权限,策略条件,配置文件,拨入限制 IP 身份验证 多重链接 加密,对数据加密,对密码加密,远程访问策略的应用规则,是否有策略处理,开始,验证通信协议,WIN2003所支持的验证通信协议有: 1、 PAP:该方式对密码不加密,以时文传输 2、 SPAP: 密码经过加密,很少用 3、 CHAP:密码加密,MD-5 4、 MS-CHAPV2:MICROSOFT,密码加密采用MPPE方式加密 注:1）安全性优先级 PAPSPAPCHAPMS-CHAPMSCHAPV2 2） MS-CHAP 及MS-CHAP

11、V2 不仅密码加密而且对数据加密；,标准的身份验证协议,协议,安全性,PAP,低 口令明文,SPAP,中 口令加密,CHAP,高,MS-CHAP,高,何时使用,客户机和服务器不能利用更安全的验证形式进行协商时。,双向可逆的加密机制,某些客户运行非MS操作系统，MD5,有些用户运行NT4.0， 95/98，2003,MS-CHAP v2,高,有些运行2003的拨号客户机 运行NT4/98的VPN机 更强的初始数据密钥，不同的密钥,配置加密协议 RRAS远程访问策略相应策略属性编辑配置文件加密,IPSec：56位（DES） MPPE：40位,IPSec：56位（DES） MPPE：56位,IPSe

12、c：3DES MPPE： 128位,排错检查步骤,1）硬件是否正常 2）远程访问服务是否启动 3）如果启动，则检查服务器设置，如端口是否允许远程访问连接 4）用户帐户的拨入属性配置是否正确 5）远程访问策略是否存在，如果存在，则策略的条件、远程访问权限、配置文件是否符合 6）客户端的配置，例如新建网络连接的参数是否正确、用户名和密码是否输入正确等,常见故障及解决方法,故障现象1 错误649：本账户没有拨入的权限 可能的原因 用户帐户拨入属性中设置拒绝访问 远程访问策略中的条件不满足，例如“Day-And-Time-Restrictions”在规定时间段内拒绝，或者“Windows-Groups”添加的用户组中的成员不包含本帐户等 远程访问策略中的设置了拒绝远程访问权限 没有远程访问策略（远程访问策略全部被删除）,常见故障及解决方法,故障现象2 错误919：远程计算机拒绝使用配置好的身份验证协议进行身份验证。线路已断开。,可能的原因 客户端与远程访问服务器的身份验证方式不匹配,实验,背景 阶段练习1内容 要求所有出差的员工都在一个组中，只授权该组有登录权限 所有用户只能在每天9：00到18：00的时间内连接VPN服务器 要求身份验证方式比较安全 要求传输数据采用增强加密方式 目标 掌握远程访问策略的使用 理解远程访问策略中的条件、远程访问权限和配置文件,