第四节 远程访问
Microsoft Windows Server 2003 家族的远程访问功能使远程人员或经常变换地点的工作者可通过使用拨号通讯链接来访问企业网络,就像他们是直接连接到企业网络一样。远程访问也提供虚拟专用网(VPN)服务,以便用户可以在Internet上访问企业网络。
用户运行远程访问软件,并初始化到远程访问服务器上的连接。远程访问服务器,即运行“路由和远程访问”的服务器,会始终验证用户和服务会话,直到用户或网络管理员将其终止为止。那些在一般情况下适用于LAN连接用户的所有服务(包括文件和打印共享、Web服务器访问和消息)均通过远程访问连接启用。
远程访问客户端使用标准工具来访问资源。例如,在运行“路由和远程访问”的服务器上, 客户端可以使用Windows资源管理器来进行驱动器连接,并连接到打印机上。连接是持久的:在远程会话期间,用户不需要重新连接到网络资源上。因为对于驱动器标识字母和通用命名约定(UNC)所命名的名字,远程访问都支持,所以大多数商业和自定义应用程序不许要修改就可以使用。
运行“路由和远程访问”的服务器可以提供两个不同类型的远程访问连接:拨号网络和虚拟专用网络。
通过使用远程通信提供商 (例如模拟电话、ISDN或X.25) 提供的服务,远程客户端使用非{yj}的拨号连接到远程访问服务器的物理端口上,这时使用的网络就是拨号网络。拨号网络的{zj0}范例是拨号网络客户端使用拨号网络拨打远程访问服务器某个端口的电话号码。
模拟电话线上或ISDN的拨号网络,是拨号网络客户端和拨号网络服务器之间的直接的物理连接。可以加密通过该连接发送的数据,但并不要求一定这样做。
虚拟专用网是穿越专用网络或公用网络(如Internet)的、安全的、点对点连接的产物。虚拟专用网客户端使用特定的,称为隧道协议的基于TCP/IP的协议, 来对虚拟专用网服务器的虚拟端口进行依次虚拟呼叫。虚拟专用网的{zj0}范例是,虚拟网络客户端使用虚拟专用网连接连接到与Internet相连的远程访问服务器上。远程访问服务器应答虚拟呼叫,验证呼叫方身份,并在虚拟专用网客户端和企业网络之间传送数据。
与拨号网络相比,虚拟专用网始终是通过公用网络(如Internet)在虚拟专用网客户端和 虚拟专用网服务器之间的一种逻辑的、 非直接的连接。要保证隐私权,必须加密在连接上传送的数据。
一、拨号网络
作为拨号网络服务器的远程访问服务器“路由和远程访问”提供了传统的拨号远程访问,以支持移动用户或家庭用户拨入到企业Intranet。安装在运行“路由和远程访问”服务器上的拨号设备会应答传入的来自拨号网络客户端的连接请求。远程访问服务器应答呼叫、身份验证并授权呼叫方,以及在拨号网络客户端和企业 Intranet 之间传送数据。
图14.4.1显示的是拨号网络的功能。
图14.4.1 利用拨号网络进行远程访问
1.拨号网络组件
拨号网络包括下列组件:
拨号网络服务器:可以配置运行“路由和远程访问”的服务器以提供对整个网络的拨号网络访问,或者限制只能对远程访问服务器上的共享资源的访问。
拨号网络客户端: 运行 Windows Server 2003 家族、 Windows XP、Windows 2000、运行“远程访问(RAS)”或“路由和远程访问(RRAS)”服务的 Windows NT、 Windows Millennium Edition、 Windows 98、 Windows 95 或 Mac OS的远程访问客户端都可以连接到运行“路由和远程访问”的服务器上。
LAN和远程访问协议:应用程序使用LAN协议传递消息。远程访问协议用于协商连接, 并为通过广域网(WAN)链接发送的LAN协议数据提供组帧。“路由和远程访问”支持LAN协议, 如TCP/IP和AppleTalk,这些协议用于访问Internet、UNIX、Mac OS及Novell NetWare资源。“路由和远程访问”支持远程访问协议,如PPP。
WAN选项:客户端可以使用标准电话线和一个调制解调器或调制解调器池来拨入。使用ISDN可以建立更快速的链接。使用X.25或ATM也可以将远程访问客户端连接到远程访问服务器上。通过RS-232C零调制解调器电缆、并行端口连接、或红外连接,也可以建立直接连接。
安全选项:Windows Server 2003 家族提供了登录和域安全,并对拨号客户端的安全网络访问提供了安全主机、数据加密、远程身份验证拨入用户服务(RADIUS)、智能卡、远程访问账户锁定、远程访问策略和回拨等支持。
图14.4.2显示了拨号网络组件,对Windows Server 2003拨号网络的实际执行和配置可能与此处不一样。
图14.4.2 构建拨号网络的组件
2.拨号网络客户端
连接到运行“路由和远程访问”的服务器的拨号客户端可以是任何PPP客户端。客户端必须安装有调制解调器、模拟电话线,或其他 WAN 连接,和远程访问软件。
通过使用简单的批处理文件和rasdial命令,可以使客户端的连接过程自动化。通过使用拨号网络和任务计划, 还可以计划自动与远程计算机互相进行备份。
基于Windows的PPP客户端
使用 TCP/IP 协议的基于 Windows的PPP客户端可以访问运行“路由和远程访问”的服务器。 基于Windows的PPP客户端不能使用AppleTalk协议。远程访问服务器自动与PPP 客户端协商身份验证。
Microsoft Windows Server 2003家族、Windows XP、Windows 2000 客户端支持的远程访问的PPP功能有:多重链接、带宽分配协议(BAP)、Microsoft 质询握手身份验证协议 (MS-CHAP)、质询握手身份验证协议(CHAP)、 Shiva 密码身份验证协议 (SPAP)、 密码身份验证协议(PAP))、Microsoft质询握手身份验证协议版本2(MS-CHAP v2)及可扩展身份验证协议(EAP);Windows NT 版本4.0客户端支持的PPP功能有:多重链接、MS-CHAP、CHAP、SPAP、PAP和MS-CHAP版本2(带有Windows NT 4.0 Service Pack 4及更高版本),不支持 BAP和EAP; Windows NT版本3.5x客户端支持的PPP功能有: MS-CHAP、CHAP、SPAP和PAP,不支持多重链接、BAP、MS-CHAP版本2和EAP;Windows Millennium Edition、Windows 98客户端支持多重链接、MS-CHAP、CHAP、SPAP、PAP和MS-CHAP版本2(带有Windows 98 Service Pack 1及更高版本),不支持BAP和EAP;Windows 95客户端支持的PPP功能有:MS-CHAP、CHAP、SPAP和PAP(带有对 Windows 95 及更高版本的Windows拨号网络1.3性能与安全升级),不支持MS-CHAP版本v2、多重链接、BAP和EAP。
其他 PPP 客户端
其他使用 TCP/IP 或 AppleTalk 协议的PPP客户端软件可以访问运行“路由和远程访问”的服务器。远程访问服务器自动与PPP客户端协商身份验证。 除了确保将远程访问服务器和其他PPP客户端都配置为相同的LAN和身份验证协议外,运行“路由和远程访问”的服务器无需任何特殊配置。
3.拨号网络服务器
管理员可以使用“路由和远程访问”来配置服务器以提供远程访问、查看连接用户及监视远程访问通信。
对于拨号网络访问,服务器必须有至少一个调制解调器或一个多端口适配器,以及模拟电话线或其他WAN连接。如果服务器提供对网络的访问,则必须安装一个单独的网卡,并将它连接到服务器提供访问的网络上。
在运行“路由和远程访问服务器安装向导”期间或之后,都可以配置运行“路由和远程访问”的服务器。
二、虚拟专用网络
虚拟专用网连接模拟点对点连接。要模拟点对点连接,必须将数据封装或打包,并附加一个IP报头以提供到达虚拟专用网服务器的路由信息。用来封装数据的那部分虚拟专用网连接称为隧道。
对于安全的虚拟专用网,将在封装之前加密数据。如果没有密钥,则无法理解被截取的数据包。用于加密数据的那部分虚拟专用网连接称为虚拟专用网(VPN)连接。
通过使用称为“隧道协议”的特殊协议, 可以创建、管理和终止VPN连接。 虚拟专用网客户端和 虚拟专用网服务器都必须支持相同的隧道协议,以创建虚拟专用网连接。对于“点对点隧道协议(PPTP)”和“第二层隧道协议(L2TP)”这两种隧道协议而言,运行“路由和远程访问”的服务器就是一个虚拟专用网服务器。
图14.4.3显示了虚拟专用网的功能。
图14.4.3 利用虚拟专用网络进行远程访问
1.虚拟专用网的组件
一个虚拟专用网包括以下组件:
虚拟专用网(VPN)服务器:可以配置 VPN 服务器以提供对整个网络的访问,或限制仅可访问作为 VPN 服务器的计算机的资源。
VPN客户端:VPN 客户端是获得远程访问VPN连接的个人用户或获得路由器到路由器VPN连接的路由器。 运行 Windows Server 2003家族产品、Windows XP、Windows 2000、Windows NT 4.0、Windows 95、Windows 98 或Windows Millennium Edition的VPN客户端可以创建到VPN服务器的远程访问VPN连接。运行Windows Server 2003家族产品、Windows 2000和“路由和远程访问” 或 Windows NT Server 4.0 和 “路由和远程访问服务 (RRAS)”的计算机可创建路由器到路由器的VPN连接。VPN客户端也可以是任何点对点隧道协议 (PPTP) 客户端或使用Internet协议安全性 (IPSec) 的第二层隧道协议 (L2TP) 客户端。
LAN和远程访问协议:应用程序使用LAN协议传输信息。远程访问协议用于协商连接, 并为通过广域网 (WAN) 链接发送的LAN协议数据提供组帧。“路由和远程访问”支持 PPP 远程访问协议。Windows Server 2003 Datacenter Edition、 Windows Server 2003 Enterprise Edition、 Windows Server 2003 Web Edition和Windows Server 2003 Standard Edition都支持诸如TCP/IP和AppleTalk的LAN协议,用这些协议可以访问Internet、UNIX、Apple Macintosh和Novell NetWare资源。
隧道协议:VPN客户端通过使用PPTP或L2TP隧道协议,可创建到VPN服务器的安全连接。
WAN选项: 通过使用诸如T1和“帧中继”的{yj}性WAN连接,将VPN服务器连接到Internet。 通过使用{yj}性WAN连接,或拨入(使用标准模拟电话线或 ISDN)到本地Internet服务提供商 (ISP),将VPN服务器连接到Internet。
安全选项:“路由和远程访问”通过支持登录和域安全,以及对安全主机、数据加密、智能卡、IP 数据包筛选和呼叫器ID的支持来为VPN客户端提供安全网络访问。
图 14.4.4 显示了所有的虚拟专用网组件和可能的配置。 Windows Server 2003虚拟专用网的实际实施和配置可能会有所不同。
图14.4.4 虚拟专用网的组件和配置
2.虚拟专用网客户端
连接到“路由和远程访问”的虚拟专用网客户端可以是运行Windows Server 2003 家族产品、Windows XP、Windows 2000、Windows NT 4.0、Windows 95、Windows 98或Windows Millennium Edition的计算机。客户端必须可以将TCP/IP数据包通过 Internet发送到远程访问服务器上。因此,需要有网络适配器或带有模拟电话线的调制解调器,或其他到Internet的WAN连接。
Microsoft虚拟专用网客户端的隧道协议
Windows Server 2003家族、Windows 2000 和Windows XP支持的隧道协议有:点对点隧道协议(PPTP)和第二层隧道协议(L2TP);Windows NT 4.0、Windows Millennium Edition、Windows 98和Windows 95。
Microsoft虚拟专用网客户端的身份验证
Windows Server 2003家族、Windows XP 和Windows 2000 Microsoft客户端支持的远程访问身份验证协议有: 质询握手身份验证协议 (MS-CHAP)、 质询握手身份验证协议 (CHAP)、 Shiva 密码身份验证协议(SPAP)、密码身份验证协议(PAP)、MS-CHAP 版本2(MS-CHAP v2)和可扩展身份验证协议(EAP);Windows NT 4.0、Windows 98、Windows 95 支持的远程访问身份验证协议有:MS-CHAP、CHAP、SPAP、PAP 和 MS-CHAP v2,不支持EAP。
其他虚拟专用网(VPN)客户端
其他使用PPTP或带Internet协议安全(IPSec)的L2TP的虚拟专用网客户端可以访问运行“路由和远程访问”的服务器。但是,如果想保护VPN连接的安全, 则必须确保客户端支持合适的加密。 对于 PPTP, 必须支持Microsoft 点对点加密(MPPE)。对于L2TP,必须支持IPSec加密。
对于从Internet上访问虚拟专用网,通常情况下,服务器具有到Internet的{yj}性连接。如果Internet服务提供商 (ISP) 支持请求拨号连接,则可能存在到Internet上的非{yj}性连接;在将通信传递给VPN服务器时创建连接。然而,这不是常规配置。如果VPN服务商提供对网络的访问,则必须安装独立的网络适配器, 并将其连接到 VPN服务器提供访问的网络上。
在 Windows Server 2003 Web Edition 和 Windows Server 2003 Standard Edition上,最多可以创建1 000个点对点隧道协议(PPTP)端口,最多可以创建1 000个两层隧道协议(L2TP)端口。但是,Windows Server 2003 Web Edition一次只能接收一个虚拟专用网(VPN) 连接。Windows Server 2003 Standard Edition最多可以接受1 000个并发的VPN连接。如果已经连接了1 000个VPN客户端,则其他连接尝试将被拒绝,直到连接数目低于1 000为止。
