Установка, настройка и сопровождение служб совместного доступа в интернет. Сервер удалённого доступа

     2. SLIP (Serial Line Internet Protocol) используется на устаревших версиях серверов удаленного доступа.

     3. Microsoft RAS (также называемый Asynchronous NetBEUI, или AsyBEUI) - протокол удаленного доступа, используемый унаследованными клиентскими системами Microsoft, например Windows NT 3.1, Windows for Workgroups, MS-DOS и LAN Manager. 

     1.2 Элементы защиты удаленного доступа 

     Поскольку клиент удаленного доступа бесшовно подключается к сети и содержащимся в ней конфиденциальным данным, при  удаленном доступе очень важно обеспечить должную защиту. Windows 2000 предусматривает самые разнообразные средства защиты, в том числе защищенную аутентификацию пользователей, взаимную аутентификацию (клиента и сервера), шифрование данных, ответный вызов и идентификацию звонящего. 

     1.2.1 Защищенная аутентификация пользователей 

     Защищенная  аутентификация пользователей достигается  за счет обмена удостоверениями (учетными данными) пользователей в шифрованном  виде и поддерживается РРР в сочетании  с одним из протоколов аутентификации: ЕАР (Extensible Authentication Protocol), MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) версий 1 и 2, CHAP (Challenge Handshake Authentication Protocol) или SPAP (Shiva Password Authentication Protocol). Сервер удаленного доступа можно настроить так, чтобы он требовал применения защищенной аутентификации. Если клиент удаленного доступа не в состоянии выполнить это требование, его запрос на соединение отклоняется. 

     1.2.2 Неаутентифицируемые соединения 

     Windows 2000 также поддерживает иеаутснтифицируемые  РРР-соединения. При установлении таких соединений этап аутентификации пропускается. Ни клиент удаленного доступа, ни сервер удаленного доступа не обмениваются своими удостоверениями. К использованию неаутентифицируемых соединений следует относиться очень внимательно, так как они предоставляются без проверки идентификации удаленных клиентов.

     Неаутентифицируемые соединения желательны в двух случаях:

       1. При аутентификации на основе ANI/CLI (Automatic Number Identification/Calling Line Identification). В этом случае аутентификация осуществляется по номеру телефона клиента. ANI/CLI возвращает получателю вызова номер телефона клиента — такая услуга предоставляется большинством телефонных компаний. Аутентификация на основе ANI/CLI отличается от аутентификации по идентификатору звонящего. При аутентификации по идентификатору звонящего клиент передает имя и пароль пользователя. Идентификатор звонящего, который настраивается в параметрах входящих звонков в окне свойств учетной записи пользователя, должен совпадать с идентификатором, указываемым при попытке подключения; в ином случае попытка подключения игнорируется. А при аутентификации на основе ANI/CLI имя и пароль пользователя не применяются.

       2. Аутентификация гостей. В качестве идентификации клиента используется учетная запись Guest (Гость). 

     1.3 LAN-протоколы 

     Это протоколы, используемые клиентом удаленного доступа для обращения к ресурсам в сети, к которой подключен  сервер удаленного доступа. Средства удаленного доступа в Windows 2000 поддерживают TCP/IP, IPX, AppleTalk и NetBEUI. 

     1.3.1 TCP/IP 

     Для настройки ТСР/IP-клиента удаленного доступа в IPCP-процессе согласования сервер удаленного доступа назначает клиенту IP-адрес и сообщает IP-адреса DNS- и WINS-серверов. 

     1.3.2 Назначение IP-адреса 

     Чтобы выделить IP-адрес клиенту, сервер удаленного доступа использует либо DHCP (Dynamic Host Configuration Protocol), либо статический пул IP-адресов. 

     1.4 DHCP и автоматическое назначение частных IP-адресов 

     Если  сервер удаленного доступа настроен на получение IP-адресов через DHCP, то DHCP-сервер выделяет службе маршрутизации и удаленного доступа 10 IP-адресов. Сервер удаленного доступа использует для интерфейса сервера RAS первый, полученный от DHCP адрес, а остальные адреса назначает по мере подключения новых ТСР/IР-клиентов удаленного доступа. Освобождающиеся при отключении клиентов IP-адреса используются повторно.

     Если  сконфигурирован статический пул IP-адресов, сервер удаленного доступа  использует первый IP-адрес из первого  диапазона адресов для интерфейса RAS-cepвера, а последующие адреса присваиваются по мере подключения новых TCP/IP-клиентов удаленного доступа. IP-адреса, освобожденные в результате отключения клиентов удаленного доступа, используются повторно. 

 

     2. ПРАКТИЧЕСКАЯ ЧАСТЬ 

     2.1 Сервер подключения к Интернету. 

     1. В меню Пуск(Start) раскрыл меню Программы(Programs), Администрирование(Administrative Tools) и запустил оснастку Маршрутизация и удалённый доступ( Routing and Remote Access)(Рисунок 1).

     

     Рисунок 1. Запуск службы RRAS

     2. Правой кнопкой мыши щёлкнул на имени сервера и в контекстном меню выбрал команду Настроить и включить маршрутизацию и удалённый доступ(Configure and Enable Routing and Remote Access) (Рисунок 2).

     

     Рисунок 2. Настройка и включение маршрутизации  и удаленного доступа

     3. В диалоговом окне приветствия  мастера установки сервера маршрутизации  и удалённого доступа (Routing and Remote Access Server Setup Wizard) нажал кнопку Далее(Next) (Рисунок 3).

     

     Рисунок 3. Мастер настройки сервера

     4. В диалоговом окне Общие параметры (Common Configurations) выбрал конфигурацию Сервер подключения к Интернет и нажал кнопку Далее (Next) (Рисунок 4).

     

     Рисунок 4. Окно общие параметры

     5. В диалоговом окне Установка сервера подключения к Интернет для более полного администрирования сервера выбрал параметр "Установить маршрутизатор с протоколом преобразования сетевых адресов (NAT)" и нажал кнопку Далее (Next) (Рисунок 5).

     

     Рисунок 5. Окно установка сервера подключения  к Интернет

     6. В диалоговом окне  Подключение к Интернет выбрал внешнее подключение в Интернет и нажал кнопку Далее (Next) (Рисунок 6).

     

     Рисунок 6. Окно подключения к Интернет

     7. В окне завершения конфигурирования  сервера нажал кнопку Готово (Finish) (Рисунок 7).

     

     Рисунок 7. Завершение работы мастера

     8. Чтобы назначить IP-адреса клиентам, зашёл в IP-маршрутизация/NAT-преобразование сетевых адресов. В этом окне видны используемые интерфейсы преобразования сетевых адресов. Щёлкнул правой кнопкой на NAT-преобразование сетевых адресов и в контекстном меню выбрал Свойства (Рисунок 8).

     

     Рисунок 8. Свойства NAT

     9. На вкладке Назначение адресов выставил галку Автоматически назначать IP-адреса с использованием DHCP и указал необходимый диапазон адресов (Рисунок 9).

     

     Рисунок 9. Вкладка назначение адресов

     10. Для использования службы DNS на вкладке Разрешение имён в адреса поставил галку для клиентов, использующих службу DNS и подтвердил изменение параметров кнопкой ОК (Рисунок 10).

     

     Рисунок 10. Вкладка разрешение имен в адреса 
 

 

 

     2.2 Сервер удалённого доступа 

     1. В меню Пуск(Start) раскрыл меню Программы(Programs), Администрирование(Administrative Tools) и запустил оснастку Маршрутизация и удалённый доступ( Routing and Remote Access) (см. приложение 1 рисунок 11).

     2. Правой кнопкой мыши щёлкнул на имени сервера и в контекстном меню выбрал команду Настроить и включить маршрутизацию и удалённый доступ(Configure and Enable Routing and Remote Access) (см. приложение 1 рисунок 12).

     3. В диалоговом окне приветствия мастера установки сервера маршрутизации и удалённого доступа (Routing and Remote Access Server Setup Wizard) нажал кнопку Далее(Next) (см. приложение 1 рисунок 13).

     4. В диалоговом окне Общие параметры (Common Configurations) выбрал конфигурацию Сервер удалённого доступа (Remote Access Server) и нажал кнопку Далее (Next) (см. приложение 1 рисунок 14).

     5. В диалоговом окне Установка сервера удалённого доступа выбрал тип конфигурации Установка расширенного сервера удалённого доступа и нажал кнопку Далее (Next) (см. приложение 1 рисунок 15).

     6. В диалоговом окне Протоколы удаленных клиентов (Remote Client Protocols) проверил, что в списке присутствуют все протоколы, требуемые для работы удаленных клиентов, и нажал кнопку Далее (Next) (см. приложение 1 рисунок 16).

     7. В диалоговом окне Проверка подлинности учётной записи “Гость” пользователей Macintosh установил значение – Разрешать доступ без проверки подлинности всем удалённым клиентам и нажал кнопку Далее (Next) (см. приложение 1 рисунок 17).

     8. В диалоговом окне Назначение IP-адресов выбрал способ назначения IP-адресов удалённым клиентам Из заданного диапазона адресов и нажал кнопку Далее (Next) (см. приложение 1 рисунок 18).

     9. В диалоговом окне Назначение диапазонов IP-адресов нажал кнопку Создать… , затем ввёл Начальный IP-адрес 10.26.168.5 и Количество адресов равное 70 подтвердил кнопкой ОК и нажал кнопку Далее (Next) (см. приложение 1 рисунок 19).

     10. Так как я не использую RADIUS для проверки подлинности и авторизации клиентов удалённого доступа, в диалоговом окне Управление несколькими серверами удалённого доступа (Managing Multiple Remote Access Servers) выбрал значение Нет, не настраивать сервер для работы с RADIUS-сервером (No, I don’t want to set up this server to use RADIUS now) и нажал кнопку Далее (Next) (см. приложение 1 рисунок 20).

     11. В диалоговом окне завершения работы мастера установки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard) нажал кнопку Готово (Finish) (см. приложение 1 рисунок 21).

     12. Запустил службу маршрутизации и удалённого доступа (Routing and Remote Access Service) (см. приложение 1 рисунок 22). 

 

     2.3 Сервер виртуальной частной сети. 

     1. В меню Пуск(Start) раскрыл меню Программы(Programs), Администрирование(Administrative Tools) и запустил оснастку Маршрутизация и удалённый доступ( Routing and Remote Access) (см. приложение 1 рисунок 23).

     2. Правой кнопкой мыши щёлкнул на имени сервера и в контекстном меню выбрал команду Настроить и включить маршрутизацию и удалённый доступ(Configure and Enable Routing and Remote Access) (см. приложение 1 рисунок 24).

     3. В диалоговом окне приветствия  мастера установки сервера маршрутизации  и удалённого доступа (Routing and Remote Access Server Setup Wizard) нажал кнопку Далее(Next) (см. приложение 1 рисунок 25).

     4. В диалоговом окне Общие параметры (Common Configurations) выбрал конфигурацию Сервер виртуальной частной сети (VPN) и нажал кнопку Далее (Next) (см. приложение 1 рисунок 26).

     5. В диалоговом окне Протоколы удаленных клиентов (Remote Client Protocols) проверил, что в списке присутствуют все протоколы, требуемые для работы удаленных клиентов, и нажал кнопку Далее (Next) (см. приложение 1 рисунок 27).

     6. В диалоговом окне Проверка подлинности учётной записи “Гость” пользователей Macintosh установил значение – Разрешать доступ без проверки подлинности всем удалённым клиентам и нажал кнопку Далее (Next) (см. приложение 1 рисунок 28).

     7. В диалоговом окне Подключение к Интернету выбрал Виртуальное частное подключение и нажал кнопку Далее (Next) (см. приложение 1 рисунок 29).

     8. В диалоговом окне Назначение IP-адресов выбрал способ назначения IP-адресов удалённым клиентам Из заданного диапазона адресов и нажал кнопку Далее (Next) (см. приложение 1 рисунок 30).