管理 Windows 2000 网络环境课程内容

管理 Windows 2000 网络环境课程内容

第一章： Microsoft Windows 2000 网络环境管理概述第二章： Microsoft Active Directory 目录服务第三章：共享网络资源管理第四章：委派管理控制第五章： DNS 管理第六章： Active Directory 复制第七章：实现组策略第八章：使用组策略管理桌面环境第九章：网络安全管理第十章：管理 Web 服务第十一章：配置远程访问第十二章： DHCP 实施和管理第十三章：实现名称解析第十四章：启动和登录疑难解答

第十一章配置远程访问

Windows 2000 远程访问概述配置远程访问服务器配置身份验证协议配置加密协议为 DHCP 集成配置路由和远程访问检查远程访问策略检查远程访问策略评估创建远程访问策略配置远程访问客户端最佳实践

Windows 2000 远程访问概述

远程访问连接的工作方式拨号连接，虚拟专用网连接

远程访问协议和 LAN 协议点对点协议 (PPP) ， Microsoft RAS ， AppleTalk

远程访问协议虚拟专用网络协议

PPTP 和 L2TP 多重链接协议

将多个物理链接组合为一个逻辑包来增加带宽

11.1 Windows 2000 远程访问概述

远程访问连接的工作方式

LAN 协议

远程访问协议

局域网

LAN LAN 协议协议LAN LAN 协议协议

远程访问协议

远程访问协议

远程访问协议

远程访问协议

InternetInternet

远程访问客户端

远程访问服务器

11.1.1 远程访问连接的工作方式

远程访问协议和 LAN 协议

PPPPPP

Microsoft RASMicrosoft RAS

ARAP (server only)ARAP (server only)

远程访问协议远程访问协议

TCP/IPTCP/IP

NWLinkNWLink

NetBEUINetBEUI

AppleTalkAppleTalk

LAN LAN 协议协议

11.1.2 远程访问协议和 LAN 协议

虚拟专用网络协议

客户端服务器PPTP 或 L2TP

InternetInternet

PPTPPPTP

基于 IP 的网络基于 IP 的网络

不支持报头压缩不支持报头压缩

不支持隧道验证不支持隧道验证

使用内置 PPP 加密使用内置 PPP 加密

兼容性好兼容性好

L2TPL2TP

基于 IP 、帧中继、 X.25 或 ATM 的网络

基于 IP 、帧中继、 X.25 或 ATM 的网络

支持报头压缩支持报头压缩

支持隧道验证支持隧道验证

使用 IPSec 加密使用 IPSec 加密对 Microsoft 操作系统而言，只支持 Windows 2000 和 Windows

XP 的计算机

对 Microsoft 操作系统而言，只支持 Windows 2000 和 Windows

XP 的计算机

11.1.3 虚拟专用网络协议

多重链接协议

A

B

A

B C


带有带宽分配协议 (BAP)) 的多重链接

带有带宽分配协议 (BAP)) 的多重链接

根据需要切换连接根据需要切换连接


多重链接多重链接

11.1.4 多重链接协议



配置远程访问服务器

配置入站连接配置调制解调器和电缆端口配置虚拟专用网络端口配置“多重链接”连接为用户配置入站访问

11.2 配置远程访问服务器

配置入站连接 11.2.1 配置入站连接

配置调制解调器和电缆端口

虚拟端口数虚拟端口数

端口（按类型分组）

端口（按类型分组）

电话号码电话号码

11.2.2 配置调制解调器和电缆端口

配置虚拟专用网络端口

PPTP 端口PPTP 端口

L2TP 端口L2TP 端口

11.2.3 配置虚拟专用网络端口

配置“多重链接”连接

在远程访问服务器上配置“多重链接”和 BAP

在远程访问客户端上配置“多重链接”

11.2.4 配置“多重链接”连接

为用户配置入站访问

User1 属性

常规地址账户配置电话组织隶属于环境超时拨入

远程访问权限 ( 拨入或 VPN)

回拨选项

申请 IP 路由

允许访问

拒绝访问通过远程访问策略控制访问

确认调用方 ID ：

不回拨由调用方设置 ( 仅用于路由和远程访问 )

总是回拨

指定静态 IP 地址

为该拨入连接定义路由

确定取消应用应用

静态路由静态路由

权限权限

调用方 ID调用方 ID

回拨回拨

IP 路由IP 路由

11.2.5 为用户配置入站访问



配置身份验证协议

标准身份验证协议可扩展身份验证协议

“ 可扩展身份验证协议 (EAP)” 使远程访问服务器能够进行自定义身份验证

11.3 配置身份验证协议

标准身份验证协议

协议协议安全性安全性何时使用何时使用

PAP 低当使用更安全形式的验证，客户端和服务器不能协商时

SPAP 中当连接到 Shiva LAN Rover ，或当 Shiva 客户端连接到基于 Windows 2000 的远程访问服务器时

CHAP 中上当客户端不运行 Microsoft 操作系统时

MS-CHAP 中上当客户端运行 Windows 2000 、 Microsoft Windows NT 4.0 或后期版本，或 Microsoft Windows 95 或后期版本

MS-CHAP v2 高当客户端运行 Windows 2000 拨号，或运行 Windows NT 4.0 Service Pack 4 或后期版本 VPN

11.3.1 标准身份验证协议

可扩展身份验证协议

客户端和远程访问服务器通过协商来决定要使用的身份验证方法

使用以下的方法来支持身份验证：消息摘要 5 质询握手身份验证协议传输层安全性 (TLS)

附加的第三方身份验证方法通过 API 支持新的客户端和服务器身份验证方法

11.3.2 可扩展身份验证协议



配置加密协议

加密方案加密方案 MPPEMPPE IPSecIPSecIPSecIPSec

基本加密 40 位

强加密 56 位

最强加密最强加密 128 位128 位

56 位 DES56 位 DES

56 位 DES56 位 DES

3 重 DES3 重 DES

11.4 配置加密协议



为 DHCP 集成配置路由和远程访问

通过使用 DHCP 给远程访问客户端分配 IP 地址配置“路由和远程访问”来使用 DHCP

11.5 为 DHCP 集成配置路由和远程访问

通过使用 DHCP 给远程访问客户端分配 IP 地址

能够使用能够使用 DHCP DHCP 服服务器时：务器时：能够使用能够使用 DHCP DHCP 服服务器时：务器时：

一开始远程访问服务器将从 DHCP 服务器获取 10 个 IP 地址

一开始远程访问服务器将从 DHCP 服务器获取 10 个 IP 地址

不能使用不能使用 DHCP DHCP 服服务器时：务器时：不能使用不能使用 DHCP DHCP 服服务器时：务器时：

远程访问服务器使用“自动专用 IP 寻址” 远程访问服务器使用“自动专用 IP 寻址”

11.5 为 DHCP 集成配置路由和远程访问（ 1

）

配置“路由和远程访问”来使用 DHCP 11.5 为 DHCP 集成配置路由和远程访问（ 2

）

实验 A 配置 RAS



检查远程访问策略

远程访问策略远程访问策略

策略存储于本地，不存储在 Active Directory 中策略的组件：

条件权限配置文件

11.6 检查远程访问策略



检查远程访问策略评估

跟踪策略评估逻辑 Windows 2000 根据策略条件、用户与远程访问

权限和配置文件设置的逻辑来评估一个连接尝试

检查默认策略和多策略当连接尝试与所有策略都不匹配时，就对它使

用默认策略

11.7 检查远程访问策略评估

“路由和远程访问” 与远程访问策略的条件相匹配“路由和远程访问” 与远程访问策略的条件相匹配

连接连接

否否

连接连接

是是

否否是是

允许允许拒绝拒绝


使用远程访问策略使用远程访问策略

“路由和远程访问”在 Active Directory 中检查用户的拨入权限

“路由和远程访问”在 Active Directory 中检查用户的拨入权限

是是“路由和远程访问”与用户账户和策略配置文件所设置的连接相匹配

“路由和远程访问”与用户账户和策略配置文件所设置的连接相匹配

跟踪策略评估逻辑

连接连接

否否

允许允许

评估配置文件

评估配置文件

拒绝拒绝


使用远程访问策略使用远程访问策略

连接连接

是是否否

条件

权限

配置文件

11.7.1 跟踪策略评估逻辑

检查默认策略和多策略

默认远程访问策略当连接尝试与所有策略都不匹配时，就对它使

用默认策略只有设置一个用户的拨入权限为“允许访问”

，该用户的连接尝试才会被接受多策略

按序检查策略，直到某一个策略与连接尝试相匹配为止

只检查第一个匹配的远程访问策略的配置文件或用户账户设置

11.7.2 检查默认策略和多策略



创建远程访问策略

配置远程访问策略条件远程访问策略条件是与连接尝试设置进行比较

的属性。如果一个策略中有多个条件，那么所有的条件都必须与连接尝试设置相匹配，否则就自动评估下一个策略

配置远程访问配置文件设置远程访问配置文件指明当条件匹配时，会授予

用户何种类型的访问权限。只有连接尝试与用户账户或配置文件的设置不冲突时，才能授予访问权限

11.8 创建远程访问策略

连接尝试条件的示例连接尝试条件的示例

配置远程访问策略条件

每星期一到星期五上午 8 点到下午 5 点

连接的 IP 地址是否符合 192.168.*.*

连接是否来自 Sales 组的用户

11.8.1 配置远程访问策略条件

配置远程访问配置文件设置

配置文件设置的示例配置文件设置的示例

连接时间为 90 分钟

需要 IPSec 加密

11.8.2 配置远程访问配置文件设置

实验 B 配置远程访问策略



配置远程访问客户端

创建拨号连接创建虚拟专用网络连接检查连接属性

11.9 配置远程访问客户端

创建拨号连接

网络连接类型根据网络配置和联网需要，您可以选择要创建的联网类型网络连接类型根据网络配置和联网需要，您可以选择要创建的联网类型

网络连接向导

拨号到专用网络

拨号到 Internet

用我的电话线（调制解调器或 ISDN ）连接

用我的电话线（调制解调器或 ISDN ）连接到Internet


ISP 服务器

Internet客户端

客户端

11.9.1 创建拨号连接

创建虚拟专用网络连接

Windows 2000 VPN 服务器

Internet 适配器

Intranet 适配器

公司intranet

VPN 远程访问服务器

InternetInternet

管道管道

11.9.2 创建虚拟专用网络连接

检查连接属性 11.9.3 检查连接属性



最佳实践

只安装所需的协议只安装所需的协议

适用 DHCP 获取 IP 地址适用 DHCP 获取 IP 地址

使用强加密使用强加密

对同一个用户使用相同的远程访问策略对同一个用户使用相同的远程访问策略

通过复制，创建多连接通过复制，创建多连接

使用强身份验证使用强身份验证

11.10 最佳实践

实验 C 连接到 RAS

回顾

描述远程访问过程和协议在远程访问服务器上配置入站连接为远程访问会话配置身份验证协议为 DHCP 的集成配置“路由和远程访问”服务解释远程访问策略和配置文件概念描述远程访问策略评估过程创建远程访问策略并配置远程访问配置文件在远程访问客户端上配置出站连接

Documents

管理 Windows 2000 网络环境课程内容