Windows大、中型企业网络服务(三)
大型企业网络配置
——远程访问服务
一、 背景介绍:
某公司出差的员工(用户名为user1)在出差过程中需要公司的一份重要文件,但又没在本地磁盘上,而文件就放在公司局域网的文件服务器上的共享文件夹doc中,现在用户user1出差员工需要访问公司局域网的文件服务器上的共享文件夹doc提取所需的文件。但考虑到总公司内部的资源安全性,出差的员工使用×××连接到总公司局域网中的文件服务器,出差员工的计算机的操作系统为windows XP,出差员工能使用UNC路径访问局域网中的文件服务器,并且在实现以上功能时,需要满足以下条件:
1. 需要所有出差的员工都在一个组中,只授权该组有登录权限。
2. 所有用户只能在每天的9:00到18:00时间内连接×××服务器。
3. 要求省份验证方式比较安全。
4. 要求传输数据采用增强加密方式。
二、 最终目的:
给移动用户做虚拟的专网连接,实现出差的员工使用UNC路径,能成功的远程访问总公司内部局域网中的文件服务器上的资源,并保证这一过程中的安全、方便、低成本的远程访问服务。
三、 网络拓扑图:
四、 具体操作步骤及思考:
(一) 、**路由和远程访问服务:
1) 使用管理员administrator登录到×××服务器。
2) 打开“开始”菜单,选中“管理工具”—“路由和远程访问”命令。
在图中带个向下的红箭头,表明此路由和远程访问没有被开启,接下来我们就开启此功能。
3) 在路由和远程访问控制台中,右击服务器,从弹出的快捷菜单中选择“配置并启用路由和远程访问”命令。
4) 在路由和远程访问服务器安装向导的窗口中,单击“下一步”按钮。
5) 在配置窗口中,选择第一个单选按钮“远程访问(拨号或×××)”,单击“下一步”按钮。
此选项是允许远程客户端通过拨号或安全的虚拟专用网络(×××)Internet连接来连接到此服务器。
6) 在远程访问连接的配置中,选中“×××”复选框,单击“下一步”按钮。
此处的×××服务器(也称为×××网关)可以通过Internet从远程客户端接受连接。而此处的“拨号”远程访问服务器可以通过拨号媒体,例如:调制解调器,从远程客户端直接接受连接。
7) 在“×××连接”中选择将此服务器连接到Internet的网络接口(IP地址为20.2.2.2的网络连接),单击“下一步”按钮。
此链接是连接出外网的那个网络接口。因为要允许×××客户端连接到此服务器,至少要有一个网络接口连接到Internet。
8) 在“IP地址指定”中选择“来自一个指定的地址范围”单选按钮,单击“下一步”按钮。
如果您使用一个DHCP服务器指派地址,请确认它配置正确。如果没有使用DHCP服务器,此服务器将生成地址。
9) 在“地址范围指定”中,新建地址范围10.1.1.101—10.1.1.200,单击“下一步”按钮。
此地址范围是当×××服务器被某个允许的用户访问时,×××服务器动态的分配给此用户的IP地址。
10) 在管理多个远程服务器的窗口中,选择一个选项“否,使用路由和远程访问来对连接请求进行身份验证”,然后单击“下一步”按钮。
11) 单击“完成”按钮,按提示完成路由和远程访问服务器的安装向导。
等初始化完毕后第三步图中的那个向下的红箭头就会变为向下的绿色箭头。表明此路由和远程访问服务功能已启用。
(二) 、配置用户拨入属性:
1) 打开“工作组”中的用户user1,右击用户user1,从弹出的快捷菜单中选择“属性”—“拨入”命令。
此user1用户之前已添加到×××服务器的工作组中。
2) 在“远程访问权限(拨入或×××)”中,选择“通过远程访问策略控制访问”单选按钮。
“通过远程访问策略控制访问”,可以通过以指定的策略来控制拨入的用户,更加提高公司内部×××服务器安全性。
3) 单击“确定”按钮,以确定以上的各个配置选项。
(三) 、编辑远程访问策略:
1) 打开“路由和远程访问”管理控制台,在服务器下的目录树中单击“远程访问策略”,并右击远程访问策略表中的第一个策略,从弹出的快捷菜单中选择“属性”命令。
在此属性中可以配置公司需要的策略条件,配置条件如下。
2) 在“策略状况”中添加条件“Windows-Groups”,组选择已创建好的“dialinggroup”。
3) 在“策略状况”中添加条件“Day-And-Time-Restrictions”,时间限制为“星期日至星期六9:00到18:00”。
4) 选择“授予远程访问权限”单选按钮。
此授予远程访问权限,是本策略控制对网络的访问,除非在用户配置文件中指定了访问权限,否则本策略控制对网络的访问。
5) 单击“编辑配置文件”按钮,选择“省份验证”选项卡,勾选“Microsoft加密身份验证版本2(MS-CHAP v2)”复选框。
此处选择“Microsoft加密身份验证版本2(MS-CHAP v2)”选项使之访问更加安全。
6) 选择“加密”选项卡,分别勾选“基本加密”、“增加加密”、“增强加密”复选框,单击“确定”按钮。
如果在此处选择了“无加密”,则用户不能通过数据加密进行连接。进而访问也就没有更好的安全性了。
7) 单击远程访问策略“设置”中的“确定”按钮。
(四) 、新建客户机网络连接:
1) 在客户机上的“控制面板”—“网络连接”中,右击“新建连接向导”,从弹出的快捷菜单中选择“新建连接”命令。
2) 在网络连接向导中单击“下一步”按钮。
3) 在网络连接类型中选择第二个单选按钮“连接到我的工作场所的网络”,单击“下一步”按钮。
此选项是连接到一个商业网络(使用拨号或×××),这样就更有助于移动用户的办公情况。
4) 在网络连接中选择“虚拟专用网络连接”单击按钮,单击“下一步”按钮。
此处一定要选择“虚拟专用网络连接”,因为现在是给移动用户做虚拟的专网连接,实现出差的员工能成功的远程访问总公司内部资源并保证这一过程中的安全性,方便、低成本的远程访问服务。而第一项“拨号连接”是调制解调器和普通电话线连接,或通过综合业务数字网(ISDN)电话线连接。
5) 您可以输入您的工作地点名或您连接到的服务器名,单击“下一步”按钮。例如:输入公司名111。
6) 输入×××服务器的主机名或IP地址“20.2.2.2”,单击“下一步”按钮。
7) 在可用连接的窗口中,选中“任何人使用”单选按钮,单击“下一步”按钮。
此处我们就选择“任何人使用”,因为出差的员工不止是一个,当别人需要拨入的时候也可以在此新建的链接上使用他的账号进行拨入。
(如果创建为只是你使用的连接这样会保存在你的用户账户中,别人登录后是无法拨入的,而你登录后才能拨入使用。相当于这个新建是你个人私用的,别人是无法拨入的。)
8) 单击“完成”按钮。
(五) 、在客户机上访问文件服务器:
1) 双击客户机上新建的虚拟转用网络连接,输入用户名user1和相应的密码,单击“连接”按钮。
2) 在“开始”—“运行”中,输入UNC路径\\10.1.1.2\doc访问文件服务器。
此user1出差移动用户能够成功的访问总公司内部的文件服务器中的资源,就像公司内部用户访问内部资源一样方便。
五、 知识点总结:
Windows Server 2003远程访问服务提供了两种远程访问连接方式:拨号网络和×××。
1.×××组成要素有:×××客户端、×××服务器、隧道、×××连接、隧道协议、传输互联网络等。
RRAS是Windows Server 2003的默认安装组件,其处于停用状态(如图(一)、**路由和远程访问服务:中的第三步中的图,图中的红色向下的箭头表示停用状态),所以在配置RAS之前,必须将其**。
2.配置远程访问服务器主要配置:身份验证方法、IP地址指派、端口、用户账户拨入属性。
3.在客户机上需要创建×××网络连接。
4.远程访问策略是一组定义允许或拒绝连接的有序规则。
5.远程访问策略由条件、远程访问权限和配置文件组成。
6.远程访问策略的配置文件可以设置身份验证和数据加密方式。
本文出自 “草原” 博客,请务必保留此出处[url]http://parain.blog.51cto.com/720167/144845[/url]
本文出自 51CTO.COM技术博客
转载于:https://blog.51cto.com/chen850509/151182