《配置拨号远程访问服务器的逐步式指南.docx》由会员分享,可在线阅读,更多相关《配置拨号远程访问服务器的逐步式指南.docx(9页珍藏版)》请在三一办公上搜索。
1、配置拨号远程访问服务器的逐步式指南本逐步式指南提供了配置路由和远程访问服务 (RRAS) 结构以支持拨入远程访问连接的指导。本页内容简介逐步式指南Windows Server 2003 部署逐步式指南提供了很多常见操作系统配置的实际操作经验。本指南首先介绍通过以下过程来建立通用网络结构:安装 Windows Server 2003;配置 Active Directory;安装 Windows XP Professional 工作站并最后将此工作站添加到域中。后续逐步式指南假定您已建立了此通用网络结构。如果您不想遵循此通用网络结构,则需要在使用这些指南时进行适当的修改。通用网络结构要求完成以下指
2、南。在配置通用网络结构后,可以使用任何其他的逐步式指南。注意,某些逐步式指南除具备通用网络结构要求外,可能还需要满足额外的先决条件。任何额外的要求都将列在特定的逐步式指南中。Microsoft Virtual PC可以在物理实验室环境中或通过虚拟化技术(如 Microsoft Virtual PC 2004 或 Microsoft Virtual Server 2005)来实施 Windows Server 2003 部署逐步式指南。借助于虚拟机技术,客户可以同时在一台物理服务器上运行多个操作系统。Virtual PC 2004 和 Virtual Server 2005 就是为了在软件测试和
3、开发、旧版应用程序迁移以及服务器整合方案中提高工作效率而设计的。Windows Server 2003 部署逐步式指南假定所有配置都是在物理实验室环境中完成的,但大多数配置不经修改就可以应用于虚拟环境。将这些逐步式指南中提供的概念应用于虚拟环境超出了本文的讨论范围。重要说明此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构,决不意指,也不应由此臆测任何公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。此通用基础结构是为在专用网络上使用而设计的。此通用结构中使用的虚拟公司名称和域名系统 (DNS) 名称并未注册以便在 Internet 上使用。您不
4、应在公共网络或 Internet 上使用此名称。此通用结构的 Active Directory 服务结构用于说明“Windows Server 2003 更改和配置管理”如何与 Active Directory 配合使用。不能将其作为任何组织进行 Active Directory 配置的模型。 概述为支持远程访问公司网络的用户,您可以部署拨号网络、虚拟专用网络 (VPN) 或者同时部署这两种网络。用户可使用电话线并通过拨号网络直接拨入网络上的远程访问服务器。连接到 Internet 上的远程用户可通过 VPN 建立与网络上 VPN 服务器之间的连接。还提供了有关部署 VPN 的其他指导。该指南
5、讨论了配置拨号远程访问解决方案所需的步骤。在确定最适用于组织的解决方案时,请考虑每种解决方案的相对成本效率以及它们能在多大程度上满足组织对安全性和可用性方面的要求。还应考虑支持您的远程访问服务器设计所需要的 Intranet 网络结构。如果支持结构设计不当,远程访问客户端就无法获取 IP 地址和解析 Intranet 名称,并且无法在远程访问客户端和 Intranet 资源之间传送数据包。提供安全可靠且符合您组织需要的远程访问解决方案的关键在于,在确定是部署拨号网络、VPN 还是同时部署这两种网络后仔细规划和测试您的远程连接设计。VPN 远程访问服务器部署涉及的任务与拨号远程访问服务器部署不同
6、;但是,您的远程访问解决方案通常包括这二者的设计要素。图 1 显示拨号远程访问解决方案的基本体系结构。Microsoft 证书服务和 Internet 验证服务 (IAS) 是拨号或 VPN 结构中的可选组件,它们提供扩展的身份验证方法以及集中的策略管理。本逐步式指南不包含这些可选组件。图 1. 典型远程访问结构使用拨号网络进行远程访问在拨号网络解决方案中,远程用户拨入网络上的远程访问服务器。在本质上,拨号线路比使用公共网络(比如 Internet)的解决方案具有更强的保密性。然而,在部署拨号网络时,企业不仅要在初期投入大量的资金,而且还要在解决方案生命周期内继续支出一些费用。这些费用包括:硬
7、件采购和安装 拨号网络要求在初期投入资金购买调制解调器或其他通讯硬件、服务器硬件以及安装电话线。 每月电话费用 远程访问所使用的每条电话线都会增加拨号网络的成本。如果您使用免费电话号码或回叫功能来承担用户的长途通话费,则这些费用可能是非常高的。大多数公司可以使用大宗长途通话费率,这比按较昂贵的家用电话费率分别支付用户的费用要便宜得多。 持续支持远程访问用户的数量和远程访问设计的复杂程度可以大大影响拨号网络的持续支持成本。支持成本包括为支持和管理部署而设置的网络支持工程师、测试设备、培训和服务台人员。这些成本是组织的最大一部分投资。先决条件指南要求为成功地测试拨号远程访问服务器,您必须在远程访问
8、服务器和客户端上安装调制解调器,而且必须有一根可供使用的电话线。如果不能使用物理调制解调器来测试远程访问服务器,您可以按照本指南中的步骤强制安装一个标准调制解调器。要安装本逐步式指南中使用的通用调制解调器,请按照以下步骤操作:1.在“HQ-CON-DC-01”上,单击“开始”按钮,单击“控制面板”,然后单击“添加硬件”。2.单击“下一步”,单击“是,硬件已连接好”,然后单击“下一步”。3.在“已安装的硬件”下面,滚动到列表的底部,单击“添加新的硬件设备”,然后单击“下一步”。4.单击“安装我手动从列表选择的硬件”,然后单击“下一步”。5.单击“调制解调器”,然后单击“下一步”。6.选择“不要检
9、测我的调制解调器;我将从列表中选择”复选框,然后单击“下一步”。7.在“型号”结果窗格中,双击“标准 56000bps 调制解调器”。8.单击“全部端口”,然后单击“下一步”。9.单击“完成”。 配置拨号远程访问服务器在将服务器配置为拨号远程访问服务器之前,必须启用路由和远程访问服务 (RRAS),Windows Server 2003 会自动安装该服务。有关启用 RRAS 所需的步骤,请参见以下指南的“先决条件”部分:。有关配置 RRAS 的更多信息,请参见 Windows Server 2003 帮助和支持中心中的“”。在启用路由和远程访问后,请使用“路由和远程访问”管理单元来配置拨号远程
10、访问服务器的属性。要在 HQ-CON-DC-01 上启动“路由和远程访问”管理单元,请按照以下步骤操作:1.单击“开始”按钮,指向“所有程序”,选择“管理工具”,然后单击“路由和远程访问”。要检查是否配置了 HQ-CON-DC-01 以进行拨号远程访问,请按照以下步骤操作:1.在“路由和远程访问”控制台中,右键单击“HQ-CON-DC-01”,然后单击“属性”。2.在“HQ-CON-DC-01 属性”对话框的“常规”选项卡上,确保选中了“远程访问服务器”复选框(如图 2 所示)。图 2. 远程访问服务器配置3.在“HQ-CON-DC-01 属性”对话框中,单击“确定”。为远程访问配置拨入端口1
11、.在“路由和远程访问”控制台中,单击“HQ-CON-DC-01”旁边的加号 (+) 将树展开。2.右键单击“端口”,然后单击“属性”。3.在“端口属性”屏幕上的“设备”下面,单击以突出显示用于远程访问拨入连接的调制解调器。图 3 中选择了标准 56000 bps 调制解调器。图 3. 选择调制解调器4.单击“配置。5.在“配置设备”对话框中,选择“远程访问连接(仅入站)”,键入远程用户连接所使用的“此设备的电话号码”,然后单击“确定”。注意:如果远程访问连接使用多个调制解调器,则为每个设备重复步骤 3 到步骤 5。6.单击“确定”以完成操作。 通过策略保护远程访问拨入 Windows Serv
12、er 2003 中的 RRAS 是根据用户帐户拨入属性和远程访问策略进行网络访问授权的。远程访问策略是一组按顺序排列的规则,这些规则定义了授权或拒绝连接的方式。每个规则都有一个或多个条件、一组配置文件设置以及远程访问权限设置。如果授权某个连接,远程访问策略配置文件将指定一组连接限制。用户帐户拨入属性还提供一组限制。如果适用的话,用户帐户的连接限制将替代远程访问策略配置文件的连接限制。使用远程访问策略进行授权共有两种方式:按用户 如果按用户管理授权,请将用户帐户或计算机帐户的远程访问权限设置为“授权访问”或“拒绝访问”,也可以根据不同连接类型创建不同的远程访问策略。例如,您可能希望将一个远程访问
13、策略用于拨号连接,而将另一个远程访问策略用于无线连接。建议您只有在管理少量用户或计算机帐户时才按用户来管理授权。按组 如果按组管理授权,应将用户帐户的远程访问权限设置为“通过远程访问策略控制访问”,并创建基于各种连接类型和组成员身份的远程访问策略。例如,您可能希望将一个远程访问策略用于雇员(“Employees”组成员)的拨号连接,而将另一个远程访问策略用于承包商(“Contractors”组成员)的拨号连接。远程访问策略条件是一个或多个属性(相当于连接尝试设置)。如果存在多个条件,则所有条件必须与连接尝试设置相匹配以符合策略要求。如果远程访问的所有条件都匹配,则授予或拒绝远程访问权限。您可以
14、使用“授予远程访问权限”或“拒绝远程访问权限”选项来设置策略的远程访问权限。在下面几节中,将拨入连接的远程访问策略配置为按组进行授权。要准备远程访问策略以按组进行拨入授权,请按照以下步骤操作:1.在“HQ-CON-DC-01”服务器上,打开“Active Directory 用户和计算机”控制台。2.在“Active Directory 用户和计算机”控制台中,单击“”旁边的加号 (+) 将树展开。3.在“”树下面,单击“Accounts”组织单位 (OU)。在结果窗格中,双击“Production”,然后双击“Clair Hector”。4.在“Clair Hector 属性”页上,单击“拨
15、入”选项卡。5.在“远程访问权限”部分中,确保选中“通过远程访问策略控制访问”,然后单击“确定”。 6.在“”树下面,单击“Groups”OU,右键单击“Group”OU,选择“新建”,然后单击“组”。7.在“新建对象 组”屏幕上,键入“Dial-in Remote Access”作为“组名”,然后单击“确定”。8.在结果窗格中,双击“Dial-in Remote Access”。在“Dial-in Remote Access 属性”屏幕上,单击“成员”选项卡。单击“添加”,键入“Clair Hector”,然后单击“确定”两次。注意:如果您想在“Dial-in Remote Access”安
16、全组中添加其他用户,请为每个 Contoso 用户重复步骤 8。9.关闭“Active Directory 用户和计算机”控制台。要将远程访问策略配置为按组进行授权,请按照以下步骤操作:1.在“路由和远程访问”控制台中,单击“远程访问策略”。2.在结果窗格中,双击“到 Microsoft 路由选择和远程访问服务器的连接”。3.在“策略状况”下面,确保“Windows-Groups 匹配CONTOSOBranch Office VPN”的策略状况存在,然后单击“确定”。注意:该策略先前是在中定义的。 4.在结果窗格中,右键单击“到 Microsoft 路由选择和远程访问服务器的连接”,单击“重命
17、名” ,键入“CONTOSOBranch Office VPN”,然后按“Enter”键。5.在结果窗格中,右键单击“到其它访问服务器的连接”,单击“重命名”,键入“Dial-in Remote Access”,然后按“Enter”键。完成后,远程访问策略应该如图 4 所示。图 4. 远程访问策略6.在结果窗格中,双击“Dial-in Remote Access”,然后在“策略状况”下面,单击“添加”。7.双击“Windows-Groups”,单击“添加”,键入“Dial-in Remote Access”,然后单击“确定”两次。 8.在“策略状况”下面,单击“添加”,双击“Called-Station-Id”,然后键入远程用户连接所使用的“此设备的电话号码”。 9.完成后,单击“确定”。“策略状况”将如图 5 所示。图 5.策略状况注意:策略状况千差万别,因而可以完全控制入站连接。在前面的示例中,建立主叫台 Id 可以将此策略与入站设备直接关联起来。除了此关联提供的安全约束外,还可以获得额外的精度级别。例如,通过实现“Executive Dial-in”安全组和“calling-station-id”策略状况,可以为“Executive Dial-in”保留第二个配置了主叫台 Id 的调制解调器。10.在“属性”页底部,单击“授予远程访问权限”,然后单击“确定”。
