Операционни системи 12 и 13 лекционни
Service RRAS (Routing и Remote Access Service Routing и услуга за отдалечен достъп.) - система за обслужване на Windows Server, който ви позволява да изпълнява следните задачи:
организация на сигурни връзки (Virtual Private Network) между мобилните потребители, свързани към обществени мрежи (например интернет), както и корпоративната мрежа;
установяване на защитена връзка между офиси на фирми, които са свързани с обществени мрежи;
RRAS обслужване разполага с богат набор от функции и възможности. В този курс ще разгледаме основните функции и характеристики на услугата, която първо трябва да знаете, всеки мрежов администратор.
SLIP протокол (Serial Line протокол интерфейс) - е доста стар протокол реализира предимно на отдалечения сървър за достъп работи на UNIX-базирани системи (проектиран потребителите да се свързват с интернет); Windows семейство от системи за подпомагане на протокола само от страна на клиента (SLIP ви позволява да работите само с стека на TCP / IP мрежа, изисква писмено потребителски скриптове за клиент, за да се свържете, сървърът не ви позволява да създавате виртуални частни мрежи);
PPP протокол (от точка до точка протокол) - използва през комуникационния протокол (или по-скоро, семейство от протоколи), който позволява на потребителите да се свързват безпроблемно към отдалечен сървър за достъп, използват различни мрежови протоколи, Създаване (TCP / IP, IPX / SPX, NetBEUI AplleTalk.) виртуални частни мрежи (Windows услуга сървър за отдалечен достъп използва този протокол за комуникация).
Да започнем с един пример, показващ как да инсталирате началното определяне на услугите, както и обсъждане на терминология, технология, както и всички ние се нуждаем параметри, функции и характеристики на услугата.
Монтаж и първоначална настройка в RRAS
RRAS услуга не е необходимо да се добави чрез добавянето на компоненти на Windows. Тази услуга се инсталира, когато инсталирате системата, но тя е изключена по подразбиране. Тя трябва да бъде активирано и конфигурирано.
Щракнете върху "Старт", изберете "Всички програми" - "Административни инструменти" - ". Routing и отдалечен достъп" Отворете конзола за управление RRAS, изберете в конзолата, името на сървъра, щракнете с десния бутон и изберете "Configure и Enable Routing и за отдалечен достъп." Това започва инсталационния помощник за маршрутизиране на сървъра и отдалечен достъп:
Първоначално, капитанът трябва да избере един от сценариите използването на RRAS (фиг. 10.19). За нашия казус ние изберете опцията "Специална конфигурация" (за да видите всички налични услуги).
Допълнителни възможности за "Специална конфигурация" трябва да изберат необходими обслужващите функции (имайте предвид всички варианти. Фигура 10.20).
Щракнете върху бутона "Finish". Wizard ще ви попита дали да стартирате услугата веднага след настройката, натиснете "Да". Window конзола за управление на услугата ще бъде под формата показана на фиг. 10.21.
Нас за изучаване на RRAS услугата не изисква всички компоненти, затова считаме, че една част от компонента на надзора, а някои просто премахнете от конзолата.
Създаване правата на потребителите, за да се свържете към отдалечен сървър за достъп
При липса на RADIUS сървър (см. По-долу) позволява на потребителя да се свързва с отдалечени сървъри за достъп се определя от комбинация от свойства от потребителя и политиката за отдалечен достъп. регулируема индивидуално за всеки отдалечен сървър за достъп.
Ако Directory домейн Active е в смесен режим, разрешенията отдалечени достъп са определени само в свойствата на даден потребител в "Входящи Обаждания" (Dial-In). В този случай има само два варианта - (. Фигура 10,22), за да активират или деактивират. по подразбиране за всеки нов потребител се дефинира отрече правило. В допълнение към активирането / деактивирането, можете също да зададете повикването обратно към сървъра (Call-назад). Има три възможности:
Основният режим в имоти на потребителя са налични допълнителни опции:
"Използване на статичен трасе" - когато една връзка се изпраща на потребителя, посочени списъка на рутери.
Настройка на сървъра имоти
Отново изберете конзолата, името на сървъра, щракнете с десния бутон и изберете "Properties" от менюто.
1. В раздела "Общи" можете да промените сценариите за използване на услугата:
само като рутер (или само за локалната мрежа или към локалната мрежа и дистанционно мрежа, свързана чрез дистанционните комуникации);
само като сървър за отдалечен достъп;
комбинация от двата варианта.
На "Сигурност", създаден на метод за идентификация (удостоверяване), потребителите, които се свързват с дистанционно обслужване достъп. Service RRAS Windows Server поддържа следните методи за удостоверяване (в зависимост от степента на повишаване на сигурността на тази процедура):
PAP протокол (Password Authentication Protocol) - най-лесният протокола наследен от по-старите версии на Отдалечени услуги за достъп (приложени не само в системата на Windows), с този протокол, потребителско име и парола са предадени чрез средствата за комуникация на разбираем език, метод за удостоверяване по подразбиране е изключена;
Протокол SPAP (Шива Password Authentication Protocol) - използва протокол криптиране на паролите, разработена от Шива (в миналото - един от разработчиците на инструменти за отдалечен достъп), парола алгоритъм за криптиране е по-слаба, отколкото в методите на CHAP и MS CHAP. По подразбиране, този метод също е забранено;
Протокол CHAP (Challenge Handshake Authentication Protocol) - метод за криптиране на паролите се използва хеш MD-5 (мрежата се предава стойност на функцията за парола хашиш), този протокол е един от индустриалните стандарти и изпълнява в много системи за отдалечен достъп, се препоръчва да се използва, когато клиентът се свързва , по подразбиране не работи върху платформата Windows е и инвалиди;
MS-CHAP протокол (Microsoft Challenge Handshake Authentication Protocol) - версия на протокола за CHAP. осъществява от Microsoft с хеш функцията MD-4;
Протокол MS-CHAP v2 (Microsoft предизвикателство ръкостискане Удостоверяване протокол версия 2) - засилено MS CHAP версия (най-вече на ключ за криптиране с предаването на парола, изчисляването на нов ключ за всяка нова сесия връзки, взаимно удостоверяване на потребителя и сървъра за отдалечен достъп);
клиенти отдалечен достъп на разположение на Windows системи, когато се свържете към отдалечен сървър достъп до винаги започнете да използвате най-сигурният метод за удостоверяване. Ако сървърът не изисква протокол за удостоверяване се реализира, клиентът се опитва да по-малко сигурен протокол. И така, до тогава, докато не се вдигна с протокол, който се поддържа от двете страни.
В допълнение към тези протоколи може да се извърши за свързване с услугата чрез RADIUS услуга RRAS (обсъдени по-долу).
В същия раздел конфигурира сесии обслужване на потребителски профили (Windows Logging услуги, счетоводно обслужване на RADIUS, или липса на счетоводно обслужване) по подразбиране - сметка Windows Service.
Tab "Влизане". Този раздел е конфигуриран ниво сеч събитие, свързано с заседанията на отдалечените потребители.
Използването на RADIUS услуга
Service RADIUS (Remote Authentication Dial-в User Service) е междинна връзка между отдалечения сървър за достъп (който в този случай се нарича радиус на клиента) и обслужване на корпоративна мрежа директория. Сървърът на RADIUS може да реши две основни задачи:
интеграция в единна система за достъп до отдалечени сървъри от различни производители;
централизирано управление на достъп до корпоративната мрежа (RRAS услуга в Windows Server nastraivaetsyaindividualno за всеки сървър RRAS).
RADIUS услуга работи по следния начин:
RAS потребител изпраща искане до сървъра за удостоверяване (потребителско име и парола);
сървър за отдалечен достъп (което е RADIUS сървър клиент) изпраща искане до сървъра RADIUS;
RADIUS сървър проверява искането за удостоверяване с услугата директория (например в Active Directory), и отговаря с RAS-сървър включване или изключване на този потребител да се свърже със сървъра на отдалечен достъп;
отдалечения сървър за достъп или потребителят се свързва с корпоративната мрежа или произвежда неуспех да се свърже.
Изпълнението на RADIUS в услуга на Windows Server, наречена МСС (Internet Authentication Service).
"Мрежови интерфейси" конзола "Routing и отдалечен достъп"
В "Отдалечен достъп Клиенти" конзола "маршрутизиране и отдалечен достъп"
В този раздел се извършва в реално време мониторинг на клиенти, присъединени към отдалечен сървър за достъп.
Секция "Пристанища" конзола "Routing и отдалечен достъп"
В "Пристанища" са изброени всички налични точка връзка за дистанционно обслужване достъп:
паралелен порт (за директна връзка между два компютъра чрез LPT порт);
Модеми са на разположение за дистанционно обслужване на достъпа;
пристанища са на разположение за свързване чрез виртуални частни мрежи (ако администраторите при конфигурирането на сървъра, посочи, че се използват виртуални частни мрежи, сървърът автоматично добавя 128 пристанища за всеки от PPTP и L2TP протоколи в бъдеще Администраторът може да променя броя на портове за определен протокол).
Секция "IP-Routing" конзола "Routing и отдалечен достъп"
В този раздел, добавяте, премахвате и конфигуриране са необходими както на статични маршрути и динамични протоколи за маршрутизация:
Агент поиска DHCP-реле (DHCP Relay Agent) - използване на искания DHCP Relay Agent разгледани подробно в параграфа за DHCP услуга, създаване този агент е направено в този конкретен раздел услуга RRAS;
RIP версия 2 протокол за IP - Протокол за маршрутизация динамичен IP-пакети;
, OSPF (Open краткия път Първа) - като динамично рутиране на IP пакети протокол, по-сложно да се създаде в сравнение с РПП, но по-ефективна в големи мрежи.
Подробно проучване на протоколи за маршрутизация е извън обхвата на този курс.
Виртуални частни мрежи
VPN мрежите (виртуални частни мрежи) - технология за създаване на сигурни връзки между компютри, свързани с обществени мрежи (например интернет).
как да се защитят данните, предавани по интернет (всички мрежови пакети, предавани по интернет, предоставяне на информация на ясен текст, и знаещ хакер може да се намеси на пакети и извличане на информация от тях).
Процесът на създаване на връзката е както следва:
Започнете Съветник за нова връзка (бутон "Start" - "Control Panel" - "Network Connections" - "Съветник за нова връзка")
Изберете типа на мрежовата връзка - (. Фигура 10.25) "Свързване с мрежата при моето работно място"
Избор на метод на мрежова връзка - "виртуална частна мрежа" (Фигура 10.26.):
Ние искаме името на връзката.
Ние се определи наличието на етикетите на връзката (за потребител или за всички потребители).
Щракнете върху бутона "Finish".
Ние въведете потребителско име и парола, натиснете "Connect" (Фигура 10.28.):
Ако всички настройки са правилни, връзката ще бъде установена с отдалечен сървър корпоративен достъп. Конфигурацията на мрежата е такава, както е показано на фиг. 10.29:
По същия начин, можете да създадете сигурна виртуална връзка между два офиса мрежа корпоративна свързан с различни доставчици на интернет услуги (фигура 10.30.)
Технология на виртуални частни мрежи
Разликите между двата протокола са както следва:
криптиране (MPPE за PPTP, L2TP IPSec за);
транспортна среда (PPTP работи само на върха на TCP / IP протокол, L2TP може да работи и над Х.25, Frame Relay, банкомат, въпреки че изпълнението на L2TP в Windows система работи само през TCP / IP);
Политика за отдалечен достъп
Всяка политика се състои от три компонента:
Общи условия (Условията) - Определя условията за присъединяване на потребители (в мрежи, базирани на MS Windows Server най-интересните условия - ден от седмицата и час, както и членството в определена група.);
Профил (профил) - определя от някои параметри на свързване (например, тип удостоверяване или форма на комуникация);
Разрешения (разрешения) - за да разрешите или забраните връзката.
В началото на проверката за политика винаги е проверено от условията - ако нито едно от условията не са същите като настройките на потребителски акаунт, след това преминете към следните правила. Ако отговарят на условията, а след това на параметрите на профила на връзката трябва да бъдат проверени, ако настройките за правилата и потребителят не съвпадат, и не се премине към следващото политика. Ако параметрите на профила съвпадат и тази политика дава възможност за свързване, потребителят да бъде дадено разрешение да се свърже с отдалечен сървър за достъп. Ако политиката отрича връзката, потребителят е даден отказ да се свърже със сървъра.
Този раздел е посветен на разпространението на най-често използваните, различни от TCP / IP, мрежови протоколи и инфраструктурните услуги, основната мрежа - DHCP, WINS, RRAS.
DHCP услуга значително улеснява работата на мрежовия администратор за управление на конфигурацията на TCP / IP на различни мрежови възли (най-вече на работните станции на потребителите), което ви позволява автоматично да конфигурирате настройките на TCP / IP на тези възли.
мрежов администратор задачи:
Планиране на инсталирането на DHCP сървъри (брой сървъри, тяхното местоположение, което IP-диапазони, те ще бъдат обслужвани, и т.н.);
Монтаж на DHCP сървъри, създадете и конфигурирате параметрите на зони;
монтаж и въвеждане, ако е необходимо, DHCP реле агент.
WINS е, макар и постепенно губи своята актуалност, все още не е напълно излезли от употреба в корпоративни мрежи.
мрежов администратор задачи:
Планиране на инсталирането на WINS сървъри;
Инсталиране и конфигуриране на WINS сървър за репликация на партньори, за да се установи;
конфигуриране WINS клиент (статичен или автоматично чрез DHCP услуга).
се изисква RRAS услуга:
създаване на сигурна виртуална частна мрежа между мобилните потребители и корпоративната мрежа или корпоративната мрежа, които са свързани с обществените мрежи (например интернет);
за маршрутизиране на пакетите между IP-мрежи от корпоративната мрежа.
мрежов администратор задачи:
Планиране Routing и сървъри за отдалечен достъп;
инсталация и конфигурация на сървъри;
Планиране на работата на потребителите чрез дистанционно обслужване на достъпа;
дефиниране на потребителски разрешения за да се свържете към отдалечен сървър за достъп, и конфигурират отдалечени политики за достъп;
планиране и конфигурация маршрутизация на корпоративната мрежа.