在Windows拨号网络服务器上要进行以下设置.docx
《在Windows拨号网络服务器上要进行以下设置.docx》由会员分享,可在线阅读,更多相关《在Windows拨号网络服务器上要进行以下设置.docx(16页珍藏版)》请在冰点文库上搜索。
在Windows拨号网络服务器上要进行以下设置
在Windows2000拨号网络服务器上要进行以下设置
--安装并配置拨号设备
--安装并配置相关的网络协议
--安装并配置远程服务器
--设置远程访问权限
安装并配置拨号设备
对于拨号网络访问,服务器必须有至少一个调制解调器或一个多端口适配器,与模拟电话线或其他MAN连接。
如果服务器提供对网络的访问,则必须安装一个单独的网卡,并将它连接到服务器提供访问的网络上。
要实现拨号网络访问,服务器必须安装并配置拨号设备。
可根据需要来选择调制解调器、ISDN适配器、X.25智能卡或直接电缆连接来作为拨号设备。
如果要允许多个拨号客户机同时连接,必须有调制解调器池设备(一般称为调制解调器堆),它使用适当的方式连接到本地电信服务提供商。
在Windows2000中,通过控制面板安装和配置拨号设备,操作比较简单,这里不再赘述。
对于非域成员服务器来说,配置拨号设备后。
在"网络和拨号连接"文件夹中将显示传入的连接,实际由传入的连接来响应远程用户的拨号请求。
配置远程访问服务器
默认情况下。
Windows2000Server安装有路由和远程访问服务,但是,这项服务并未启动。
可以使用向导来自动配置远程服务,也可手动配置远程服务器。
Windows2000Server提供路由与远程访问服务器安装向导,利用该向导非常方便,只要选择用于[远程访问服务器]的选项,根据提示逐步完成即可。
必须指定在LAN上使用的LAN协议,并说明使用此协议是提供到整个网络的访问,还是仅仅到远程访问服务器上的访问。
还要设置身份验证和加密选项。
要启用并配置远程访问服务器,必须以Administrators组成员的身份登录。
下面示范根据向导快速设置远程服务器的步骤。
(1)选择[开始]-[程序)-[管理工具]-[路由和远程访问],打开[路由和远程访问服务]控制
(2)在目录树中选择相应的服务器,单击鼠标右键,从弹出的快捷菜单中选择[配置并启用路由和远程访问),打开(路由和远程访问安装向导]对话框,单击[下一步]按钮。
(3)出现[公共设置)对话框,选择[远程访问服务器],单击(下一步]按钮。
(4)从弹出的如图4.6所示的对话框中,选择[设置一个高级远程访问服务器],单击[下一步]按钮。
如果选择[设置一个基本的远程访问服务器]单选钮,将建立一个基本的远程访问服务器,然后在网络连接向导中建立传入的连接。
(5)出现如图4.7所示的对话框,列出所有已安装的协议。
如果远程客户要用来与服务器连接通信的协议还没有安装,可单击[否,我需要添加协议],将所需的协议添加到服务器上。
选择所需的协议,单击[下一步]按钮。
(6)如果有多个网卡,"将出现如图4.8所示的对话框,选择远程客户要使用的网络接口。
否则。
将直接跳到下一步。
(7)出现如图4.9所示的对话框,选择为远程客户分配IP地址的方法。
这里选择[来自一个指定的地址范围]复选框,自行设置一段IP地址范围,指定给远程客户使用。
默认选择[自动],则由DHCP服务器为远程客户自动分配IP地址。
如果服务器所在网络上没有DHCP服务器则远程访问服务器将为远程客户自动产生IP地址169上54A八。
(8)如果选择[来自一个指定的地址范围],单击[下一步]按钮,将出现如图4.10所示的对话框,添加和修改IP地址范围。
(9)单击[新建]按钮,出现如图4.11所示的对话框,输入IP地址范围,单击[确定]按钮,回到[地址范围指定]对话框,显示己添加的IP地址范围,可根据需要修改,然后单击[下一步]按钮。
(10)出现如图4.12所示的对话框,设置RADIUS服务器选项。
一般使用默认选项,单击[下一步]按
。
RADIUS是RemoteAuthenticationDial-inUserService的缩写,译为远程验证拨入用户服务。
如果网络中有多台远程访问服务器,可将远程客户端的身份验证交给一台所谓的RAD川S服务器,由其集申处理远程客户验证,将验证结果返回给远程访问服务器,远程访问服务器再据此结果决定是否让远程客户,并分配相应的权限。
此时远程访问服务器仅起代理作用,不用自行验证远程客户。
如果要使用RADIUS服务器,请参考本章4.9节。
(11)接着出现路由和远程访问服务器配置完成的提示,单击[完成]按钮。
(l2)最后出现如图4.13所示的对话框。
提示设置DHCP中继,单击[确定]即可。
如果在第(7)步选择(自动],而且DHCP服务器与此远程访问服务器位于不同网段,需要将远程客户的旧地址分配请求转发到DHCP服务器,则应进一步设置。
关于OHCP中继的设置参见木书第3章的3.11节。
否则,不必理会此提示。
设置完毕,将开始启用路由和远程访问服务,启动服务可能需要一段时间。
远程访问服务是作为服务程序来运行的,如果配置并启用了路由和远程访问,可以在[路由和远程访问控制台中用鼠标右键单击服务器,从弹出的快捷菜单中选择[所有任务],从子菜单中选择相应的命令来停止或重新启动该服务。
不要随便选择[禁用路由和远程访问],否则将删除当前的路由和远程服务配置。
只有需要重新配置路由和远程访问时,才需要"禁用",再根据向导配置并启用路由和远程访问。
有时出于提供路由服务或VPN服务的目的,已经配置并启用了路由和远程访问服务,或者在配置远程访问服务时选择了[手动配置服务器]还需要进一步确认远程访问功能是否启用,并根据需要调整配置。
设置远程用户账户拨入属性
必须为远程用户设置拨入属性,授予适当的远程访问权限。
在Windows200OServer中,不仅可以为远程用户设置账号和权限,还可通过设置远程访问策略,来集中管理账号和权限。
远程访问服务器需要验证远程用户的账号来确认其身份。
这里主要讲解远程最为简单的用户拨入属性设置,关于远程访问策略将在4.7节详细介绍。
1.用于远程访问服务器的账户数据库
不同的环境,不同的服务器角色,远程访问服务器能够用来身份验证的账户数据库也不尽相同。
--作为独立服务器的Windows2000远程访问服务器
非域成员的Windows2000远程访问服务器只能通过木地账户数据库来设置远程访问权限,不能使用基于域的账户数据库,即只能使用Windows2000服务器上的本地用户账户。
可以通过"网络和拨号连接"文件夹中的拨号连接属性或通过"本地用户"和"组"管理用户账户拨入属性。
用户列表基于运行。
--作为ActiveDirectory域成员的Windows2000远程访问服务器
对于Windows2000远程访问服务器,无论是Windows2000混合模式域成员服务,还是Windows2000本地模式域成员服务器,都可使用以下4个账户数据库来设置用户拨入属性。
本地账户数据库:
使用"本地用户"和"组"来管理。
WindowsNT4.0域账户数据库:
使用WundowsNT4.0的域用户管理器来管理。
Windows2000混合模式域账户数据库:
使用"ActiveDirectory用户和计算机"控制台,或者WindowsNT4.0的域用户管理器来管理。
Windows2000本地模式域账户数据库;使用"ActiveDirecto叮用户和计算机"控制台来管理。
Windows2000域控制器默认为混合模式,允许WindowsNT和Windows2000备份域控制器存在同一个域中。
只有从域中删除所有的WindowsNT域控制器时,域模式才能改为本地模式。
在本地模式下,所有的域控制器都升级到Windows2000,而且域控制器上已启用本机模式操作。
可参见第2章的有关内容。
为了使远程访问服务器访问存储在ActiveDirectory中的用户账户拨入属性,但该服务器必须是ActiveDirectory域"RASandIASServers"安全组成员。
当在以混合模式或本地模式域的方式运行Windows2000的远程访问服务器上运行路由和远程访问向导时,会将远程服务器的计算机账户自动添加到"RASandIASServers"安全组。
如果远程访问服务器需要在其他城中访问用户拨入属性,则必须通过"ActiveDirectory计算机和用户"控制台将计算机账户手动添加到其他域的"RASandIASServers"安全组中,具体执行以下步骤(也可使用命令netshrassetregisteredserver来完成)。
(1)使用域管理员身份账号登录到域控制器。
(2)选择[开始]-[程序)-[管理工具]-[ActiveDirectory用户和计算机]。
(3)在控制台目录树中,选择[Users]。
(4)在右侧窗格中,用鼠标右键单击[RASandIASServers],然后单击[属性]。
(5)打开[RASandIASServers属性]对话框,切换到[成员]选项卡,如图4.14所示。
(6)单击[添加]按钮,打开如图4.15所示的对话框,选择要添加的远程访问服务器。
2.为本地用户账户设置拨入属性
如果远程访问服务器不是Windows2000域成员,可以向本地用户授予拨入权限。
另外,如果远程访问服务器是Windows2000域成员,但不是域控制器,也可使用本地用户账户。
具体操作步骤如下。
(1)在远程访问服务器上选择[开始]-[程序]-[管理工具]-[计算机管理]。
打开[计算机管理]对话框。
(2)在控制台目录树中,选择[系统工具]-[本地用户和组]-[用户]。
(3)如图4.16所示,从右侧的用户列表中单击要设置拨入属性的用户,单击鼠标右键,从快捷菜单中选择[属性],打开用户属性设置对话框。
(4)切换到如图4.17所示的[拨入]选项卡,开始设置用户账户拨入属性。
(5)设置远程访问权限。
在[远程访问权限(拨入或VPN)]区域,选择(允许访问],将允许远程客户拨号连接到远程访问服务器。
如果设置了远程访问策略,也可选择[通过远程访问策略控制访问]。
这里的拨入属性也适合于通过VPN方式接入的用户。
可以使用此属性来设置是否明确允许、拒绝或通过远程访问策略决定远程访问。
如果访问被明确地允许。
远程访问策略条件。
用户账户属性或配置文件属性仍然可以拒绝连接尝试。
(6)如果要验证用户拨入所使用的电话号码。
可选中[验证呼叫方ID]复选框,然后输入用户呼叫的号码。
这是一种限制用户拨入的手段,如果用户拨入所使用的呼叫电话号码与这里配置的电话号码不匹配,服务器将拒绝拨入连接。
要确保此项功能生效,远程用户和远程访问服务器之间的电话系统必须支持呼叫方电话号码,能够将呼叫方电话号码从呼叫方传送到远程访问服务器。
不然,如果在这里配置了呼叫方们,连接尝试也将被拒绝,因为无法验证电话号码。
(7)如果要设置回拨限制,在[回拨选项]区域下。
单击要为该用户设置的回拨选项。
默认不进行回拨。
所谓回拨,就是当甲方拨号到乙方,连接成功后,乙方再回拨到甲方,此时由甲方来支付电话费用。
除了让对方支付电话费用外,回拨还有一定的安全功能。
这里如果选择[由呼叫方设置],则在连接建立过程中,服务器以呼叫方设置的电话号码回拨呼叫方,这样可由服务器所在企业来支付电话费用。
如果选择(总是回拨到]选项,并设置特定的电话号码,还可起到安全作用,强制用户使用指定号码来连接,即使用户账号和密码被盗用,如果不使用指定的电话,也会被拒绝连接。
因为不同回拨连接处理的方法不同,所以不能同时配置呼叫方ID和被设置为"由用户设置"或"总是回拨"的回拨。
(8)根据需要指派静态IP地址。
一般不用指派静态IP地址。
如果选中[分配静态IP地址]复选框,并输入该用户的静态IP地址,则当连接建立时,该用户将不会使用由远程访问服务器分配给它的IP地址,而是使用此处指派的lP地址。
要注意的是,指定的IP地址不可与网络中的其他IP地址重复。
(9)根据需要指派静态路由。
一般不用配置静态路由。
只有配置请求拨号路由连接。
才会涉及到为用户拨入配置静态路由。
此处可配置一个或多个静态路由,当进行请求拨号连接时,应答路由器就会将这些静态路由添加到其路由表中。
请参见下一章的有关内容。
3.为域用户账户设置拨入属性
如果远程访问服务器是Windows2000域成员,希望用户以域用户的身份拨入远程服务器,则需要向域用户授予相应的拨入权限。
这要通过ActiveDirectory用户和计算机管理工具来设置。
一般在域控制器上操作。
(1)选择[开始]-[程序]-(管理工具]-[ActiveDirectory用户和计算机]。
打开[ActiveDirectory用户和计算机]控制台。
(2)展开目录树中的相应域,单击[users]。
(3)如图4.18所示,在详细信息窗格中,用鼠标右键单击相应的用户名,然后单击[属性),切换到[拨入]选项卡。
(4)参见本地用户拨入属性的设置步骤进行设置。
"
"通过远程访问策酪控制访问"选项只在Widows2000本地模式域中的用户账户上或在运行独立Windows2000远程访问服务器本地账户上才可用。
默认情况下。
将独立远程访问服务器上或Windows2000本地模式域中的Administrator和Guest账户设置为"通过远程访问策酪控制访问"。
并对Windows2000混合模式域设置为"拒绝"访问"。
将独立远程访问服务器或Windows2000本地模式域中新创建的账户设置为"通过远程访问策略控制访问"将Windows2000混合模式域中新创建的账户设置为"拒绝访问"。
Windows2000是微软最具代表性的远程访问软件解决方案,可以用来组建不同规模的拨号网络。
,了解拨号网络组件很有必要,如图4.2所示,一个完整的拨号网络主要包括拨号网络服务器、拨号网络客户机、拨号连接介质和拨号网络协议等组件。
4.2.1 拨号网络服务器
拨号网络服务器是远程拨号网络的核心组件。
Windows2000服务器提供了传统的拨号远程访问服务,来支持拨入到企业Intranet的移动用户或家庭用户。
安装在运行Windows2000的远程访问服务器上的拨号装置从拨号网络客户机应答传入的连接请求。
远程访问服务器应答呼叫、身份验证并授权呼叫方,以及在拨号网络客户机和企业Intranet之间传送数据。
拨号网络服务器必须至少配备一个拨号设备,如调制解调器、多端口适配器,还需提供拨号连接,如模拟电话线或其他WAN连接。
如果拨号服务器还要提供对网络的访问,则必须安装一个单独的网卡,并将它连接至服务器提供访问的网络上。
可以配置运行Windows2000的远程访问服务器,来提供到整个网络的拨号网络访问,或者限制只能到远程访问服务器的共享资源上访问。
4.2.2 拨号网络客户机
连接到Windows2000远程访问服务器上的拨号网络客户机可以是WindowsNT、Windows2000、WindowsXP、Windows98、Windows95、MicrosoftWindowsforWorkgroups、MS一DOS、LANManager或其他任何ppp客户机。
客户机必须安装有拨号设备(如调制解调器),配备拨号线路(如模拟电话线或其他WAN连接帖
微软从Windows95开始支持ppp客户机。
使用TCP/IP、IPX或NetBEUI协议的MicrosoftPPP客户机可以访问WUndows2000远程访问服务器。
MicrosoftPPP客户机不能使用AppleTalk协议。
远程访问服务器自动与PPP客户机协商身份验证。
使用丁CWIP、IPX、NetBEUI或AppleTalk协议的非Microsoftppp客户机可以访问Windows2000远程访硼反务器。
该远程访问服务器将自动与ppp客户机协商身份验证。
除了保证远程访问服务器和非MicrosoftPPP客户机都配置为使用相同的LAN和身份验证协议以外,非MicrosoftPPP客户机对Windows2000远程访问服务器的配置没有特殊要求。
微软早期的Windows版本不能使用ppp远程访问协议,但是仍然可通过MicrosoftRAS协议连接到Windows2000远程访问服务器,不过只支持NetBEUI协议。
Windows2000远程访问服务器不支持串行线路网际协议(SLIP)。
SLIP客户机不能连接到Windows2000远程访问服务器上。
4.2.3拨号连接
Windows2000远程访问服务器支持的拨号连接类型有:
--模拟电话连接:
使用标准电话线,服务器和客户端都要配置调制解调器,通常服务器端配置调制解调器池。
--ISDN连接;使用标准电话线,服务器和客户端都要配置ISDN设备。
--X.25连接:
使用标准电话线,客户端可以通过X.25智能卡直接连接到X.25数据网,也可使用调制解调器拨入到X.25PAD,再连接到X.25数据网,而服务器端则只能通过X.25智能卡直接连接到X.25数据网。
--直接连接:
通过RS-232C零调制解调器电缆、并行端口连接或红外连接建立的连接。
4.2.4 LAN和远程访问协议
为实现拨号网络访问,客户机和服务器必须配置相应的通信协议,需要同时使用到两类通信协议。
一类是远程访问协议,用来控制广域网连接上的数据传输;另一类是LAN协议,用于远程访问客户机和服务器及其所在网络之间的网络访问。
首先使用远程访问协议在远程访问客户机和服务器之间建立拨号连接,相当于通过网线连接起来;然后使用LAN协议在远程访问客户机和服务器之间进行通信。
在数据通信的过程中,发送方首先将数据封装在哪协议中,然后将封装好的数据包封装在远程访问协议中,使之能够通过拨号连接线路传输;接收方则正好相反,收到数据包后,先通过远程访问协议解读数据包。
再通过LAN协议读取数据。
显然,拨号连接可看作是一种特殊的网络线路,远程客户机通过拨号连接接入到远程服务器,就相当于低速网线连接的LAN计算机。
--1.PPP协议
Windows2000远程访问支持3种远程访问协议PPP、SLIP和MicrosoftRAS。
SLIP全称为串行线路网际协议,作为较旧的远程访问标准,存在很多问题,主要是UNIX远程访问服务器使用,Windows2000远程访问服务器不支持SLIP客户机,但是WindowsNT/2000远程访问客户机支持SLIP,可以连接到符合SLIP标准的远程访问服务器上。
而MicrosoftRAS协议是支持NetBIOS标准的专用远程访问协议,为早期Windows版本所广泛使用。
这里重点介绍最为流行的PPP协议。
PPP协议即点对点协议,作为一种工业标准,加之具有灵活性,已被众多远程访问服务供应商所采用。
它也是微软所推荐的远程访问协议。
PPP协议主要是用来建立连接的,它实现以下功能。
--数据封装。
在数据链路层将IPX、TCP/IPNetBEUI或AppleTalk协议包的封装为数据帧。
PPP数据包格式如图4.3所示,其中标签(首尾都有)用于标识为PPP包,协议标识代表被封装的通信协议(如TCP/IP表示为Ox21),包检查顺序用于检查PPP数据包字节级错误。
--管理逻辑连接。
ppp使用连接控制协议LCP)来建立数据链路层连接,并进行维持。
设置协议参数。
在连接建立后,对通信协议进行设置,包括分配地址;确定压缩和数据加密方法。
通过ppp建立连接时。
需要完成以下4个阶段的工作。
(1)PPP设置:
在远程计算机和服务器之间建立帧规则,该规则允许进行连续的通信(帧传输)。
主要是通过LCP协议来设置PPP参数。
(2)身份验证:
远程访问服务器通过使用PPP身份验证协议(MS-CHAP、EAP、CHAP、SPAP、PAP),来验证远程用户的身份。
调用的协议取决于远程客户机和服务器的安全配置。
(3)回拨:
身份验证完毕后,如果启用了回拨,则远程访问服务器将挂断并呼叫远程访问客户机。
(4)协议设置:
启用网络控制协议(NCP)并配置远程客户机,使之使用所需的LAN协议。
当成功地完成上述步骤后,就可通过PPP连接传输数据了。
运行WindowsNT、Windows2000、WindowsXP、WindowsMe、Window98以及Windows95的远程访问客户机,都可作为PPP客户机,因而能够通过任何符合ppp标准的服务器拨入到远程网络上,即访问第三方PPP服务器。
运行Windows2000服务器版本的计算机可作为ppP服务器,能够接收来自其他供应商的远程访问软件的呼叫,以及提供对这些软件的网络访问,即支持第三方ppp客户机拨入。
--2.LAN协议
Widows2000远程访问支持4种LAN协议,即TCP/IP、IPX、AppleTalk和NetBEUI。
这表明通过使用PPP远程访问协议,可以将Windows2000远程访问集成到现有的Microsoft、UNIX、AppleMacintosh或NoveNetWare网络中。
当安装和配置远程访问时,对于在传入和传出连接上的远程访问。
已安装在计算机上的任何协议(TCP/IP、AppleTaLK或NetBEUI)将会自动启用。
对于每个LAN协议,可以限定远程访问客户机是访问整个网络的,还是只能访问远程访问服务器本身。
如果通过使用TCP/IP或IPX来提供对整个网络的访问,那么还必须配置服务器提供IP地址和IPX网络号的方式。
如果使用NetBEUI提供对整个网络的访问,则不需要任何附加的配置。
Windows2000远程访问支持AppleMacintosh远程访问客户机的拨号连接,该客户使用AppleTalk协议与PPP远程访问协议。
但是,Microsoft远程访问客户机不支持AppleTalk协议在远程访问连接上的使用。
作为完善的远程访问解决方案,往往还要配置其他组件。
可增加一些安全措施,来强化远程访问的安全。
Windows2000登录和域安全、对安全主机的支持、数据加密、远程身份验证拨入用户服务(RADIUS)、智能卡、远程访问策略和回拨等,这些为拨号客户机提供了对网络的安全访问。
如果将Windows2000拨号网络服务器用来提供ISP接入服务,还需要相关的Internet支持。
4.2.5 远程访问服务器的路由和网关功能
** 1.远程访问服务器的路由功能
Windows2000远程访问服务器本身就具备路由功能,能够将来自远程客户机的通信转发到局域网,如图
4.4所示。
当远程访问客户机拨号连接到远程访问服务器时,远程访问服务器向客户端分配一个IP地址,服务器端的连接设备也会取得一个IP地址,这样客户端就可与服务器进行通信。
如果在远程访问服务器上启用IP路由,远程客户机就可访问本地LAN。
远程客户机发往LAN的数据包首先到达服务器连接设备,然后再由月反务器通过网卡转发到LAN。
如果在远程访问服务器上没有启用IP路由,远程客户机只能访问远程访问服务器木身,而不能到达LAN。
除了IP路由之外,Window