коммуникационные службы Windows 2000

  1. Глава  Планирование и установка системы Windows 2000
  2. Глава  Загрузка операционной системы
  3. Глава  Поддержка оборудования
  4. Глава  Пользовательский интерфейс
  5. Глава  Конфигурирование системы
  6. Глава  Средства управления
  7. Глава  Диски и файловые системы
  8. Глава  Восстановление системы
  9. Глава  Работа с дисковыми ресурсами
  10. Глава  Службы печати
  11. Глава  Типовые задачи администрирования
  12. Глава  Нулевое администрирование Windows (ZAW)
  13. Глава  Средства мониторинга и оптимизации
  14. Глава  Работа с системным реестром
  15. Глава  Сообщения Windows 2000 и отладчик
  16. Глава  Сеть и удаленный доступ к сети
  17. Глава  Серверы DHCP, DNS и WINS
  18. Глава  Дополнительные сетевые службы
  19. Глава  Коммуникационные службы
  20. Глава  Маршрутизация
  21. Глава  Работа с Интернетом и электронной почтой
  22. Глава  Службы Интернета в Windows 2000
  23. Глава  Основные концепции службы Active Directory
  24. Глава  Проектирование доменов и развертывание Active Directory
  25. Глава  Администрирование доменов
  26. Глава  Средства безопасности Windows 2000
  27. Глава  Групповые политики
  28. Строительная компания ЧАО Криворожаглострой
  29. Карта сайта zao-kas.com.ua

глава 19

коммуникационные службы

служба удаленного доступа

служба удаленного доступа, входящая в состав microsoft windows 2000, позволяет удаленным или мобильным работникам подключаться к корпоративным вычислительным сетям, например, по телефонной коммутируемой линии и работать с ресурсами сети как обычно. удаленный доступ также обеспечивает поддержку виртуальных частных сетей (virtual private network, vpn), чтобы пользователи могли устанавливать безопасное соединение с корпоративной сетью через общественные сети, например, через интернет.

сервер удаленного доступа в windows 2000 server является частью интегрированной службы маршрутизации и удаленного доступа (routing and remote access service, rras). пользователи устанавливают соединение с сервером удаленного доступа с помощью клиентского программного обеспечения удаленного доступа. сервер удаленного доступа - компьютер с ос windows 2000 server и установленной службой маршрутизации и удаленного доступа - аутентифицирует как пользователей, так и сеансы связи удаленных маршрутизаторов. все службы, доступные пользователю, подключенному к lan (включая совместное использование файлов и принтеров, доступ к веб-серверам и передачу сообщений по электронной почте), доступны и пользователю, подключенному удаленно.

клиент удаленного доступа использует стандартные средства для доступа к ресурсам. например, на компьютере под управлением windows 2000 подключение дисков и принтеров выполняется при помощи проводника. подключения постоянны: пользователи не должны повторно подключать сетевые ресурсы в течение сеанса удаленного доступа. поскольку имена дисков и имена unc (universal naming convention, универсальное соглашение об именовании) полностью поддерживаются при удаленном доступе, большинство обычных действий пользователей и работа приложений остаются неизменными при работе через удаленный доступ.

сервер удаленного доступа под управлением windows 2000 предоставляет два различных типа соединения удаленного доступа: | | |

коммутируемый доступ. это соединение, при котором клиент удаленного доступа устанавливает коммутируемую связь для подключения к физическому порту на сервере удаленного доступа, используя службу-посредник для передачи данных, например аналоговый телефон, isdn или х.25. наиболее типичный пример коммутируемого доступа - установление соединения клиентом удаленного доступа при помощи модема, то есть путем набора телефонного номера одного из портов сервера удаленного доступа.

виртуальное частное соединение (vpn-соединение). это защищенное соединение типа "точка-точка" через сеть общего пользования (например, интернет) или большую корпоративную сеть. чтобы послать виртуальный запрос к виртуальному порту на vpn-сервере, vpn-клиент использует специальные протоколы на базе стека tcp/ip, которые называются протоколами туннелирования (tunneling protocols). наиболее типичный пример организации виртуальной частной сети - установление соединения vpn-клиента с частной сетью через сервер удаленного доступа, который подключен к интернету. сервер удаленного доступа отвечает на виртуальный запрос, затем аутентифицирует вызывающую программу и осуществляет обмен данными между клиентом vpn и корпоративной сетью. в отличие от коммутируемого доступа, vpn-соединение не является непосредственным, "прямым" соединением между vpn-клиентом и vpn-сервером. чтобы гарантировать безопасность, данные, передаваемые по соединению, нужно шифровать.

 

новые возможности удаленного доступа в windows 2000

новые возможности службы удаленного доступа windows 2000 server перечислены в табл. 19.1.

таблица 19.1. удаленный доступ в windows 2000 server

возможность

описание

интеграция с windows 2000 active directory

сервер удаленного доступа на windows 2000 server, являющийся частью домена windows 2000 и зарегистрированный в active directory, может обращаться к параметрам настройки удаленного доступа для пользователя (например, к разрешениям удаленного доступа и параметрам ответного вызова), которые хранятся в active directory. после регистрации сервера удаленного доступа в active directory им можно управлять и отслеживать его состояние при помощи средств на базе active directory, например, при помощи оснастки маршрутизация и удаленный доступ

ms chap версии 2

ms chap (microsoft challenge handshake authentication protocol, протокол проверки подлинности запроса-подтверждения microsoft) версии 2 предназначен для обмена идентификационной информацией и порождения ключей шифрования во время установления соединения удаленного доступа. ms chap версии 2 поддерживает vpn

ear

расширяемый протокол идентификации (еар, extensible authentication protocol) позволяет использовать новые методы проверки подлинности для удаленного доступа, включая реализацию защиты, основанную на смарт-картах. интерфейс еар позволяет подключать модули проверки подлинности сторонних производителей

вар

вар (bandwidth avocation protocol, протокол распределения полосы пропускания) и васр (bandwidth allocation control protocol, протокол управления распределением полосы пропускания) повышают эффективность работы многоканальных ррр-соединений, динамически подключая или отключая дополнительные каналы, приспосабливаясь к изменению трафика

политика удаленного доступа (remote access policy)

политика удаленного доступа - набор условий и параметров настройки соединения, которые предоставляют большую гибкость сетевым администраторам по установке и настройке разрешений удаленного доступа и атрибутов соединений

l2tp

помимо рртр, сервер удаленного доступа windows 2000 поддерживает протокол l2tp (layer 2 tunneling protocol, протокол туннелирования второго уровня), являющийся промышленным стандартом, который используется вместе с протоколом ipsec для создания безопасных vpn-соединений

поддержка клиентов удаленного доступа apple macintosh

удаленный доступ в windows 2000 поддерживает подключение клиентов удаленного доступа apple macintosh, которые используют протокол appletalk вместе с протоколом удаленного доступа appletalk (appletalk remote access protocol, arap) или с протоколом ppp

поддержка широковещания ip (ip multicast)

используя tgmp router and proxy версии 2 (маршрутизатор и посредник igmp), сервер удаленного доступа поддерживает обмен групповым ip-трафиком между клиентами удаленного доступа и интернетом или корпоративной сетью

блокировка учетной записи (account lockout)

блокировка учетной записи - функция защиты, которая отменяет разрешение удаленного доступа для учетной записи пользователя после определенного числа неудавшихся попыток проверки подлинности, например, в случае попыток подбора пароля по словарю

 

сравнение средств удаленного доступа в windows 2000 и windows nt 4.0

в табл. 19.2 перечислены общие задачи конфигурирования удаленного доступа в windows 2000. интерфейс пользователя для выполнения этих задач в windows 2000 отличается от интерфейсов windows nt 4.0 и windows nt 4.0 с установленной службой маршрутизации и удаленного доступа (rras).

таблица 19.2. настройка удаленного доступа windows 2000 и windows nt 4.0

действия

windows nt 4.0

windows nt 4.0 с установленной службой rras

windows 2000

установка, конфигурирование и удаление службы удаленного доступа

control panel | network, вкладка services

control panel | network, вкладка services

оснастка маршрутизация и удаленный доступ (routing and remote access)

настройка проверки подлинности и параметров шифрования

control panel i network, вкладка services

control panel | network, вкладка services

оснастка маршрутизация и удаленный доступ

управление серверами и клиентами удаленного доступа

утилита remote access admin

утилита routing and ras admin

оснастка маршрутизация и удаленный доступ

разрешение удаленного доступа для учетной записи пользователя

утилита remote access admin или user manager for domains

утилита user manager for domains

оснастка локальные пользователи и группы (local users and groups) или active directory - пользователи и компьютеры (active directory users and computers)

 

базовые понятия

на сервере удаленного доступа под управлением windows 2000 установленное сетевое оборудование отображается в виде ряда устройств и портов.

устройство - аппаратура или программное обеспечение, которое предоставляет службе удаленного доступа порты для установки соединений "точка-точка". устройства бывают физические, например модем, или виртуальные, например vpn-соединение. устройства могут поддерживать один порт, например модем, или несколько портов, например банк модемов, который

может предоставить 64 независимых входящих аналоговых коммутируемых соединений. протоколы рртр или l2tp - примеры виртуальных многопортовых устройств. каждый из этих туннельных протоколов поддерживает несколько одновременных vpn-соединений.

порт - отдельный канал устройства, который может поддерживать одно соединение "точка-точка". для однопортовых устройств типа модемов "устройство" и "порт" не различаются. для многопортовых устройств порт - часть устройства, при помощи которого может быть установлено отдельное соединение "точка-точка". например, адаптер isdn имеет два в-канала: адаптер isdn - устройство; каждый в-канал - порт, поскольку соединение "точка-точка" может быть установлено раздельно по каждому в-каналу.

виртуальное частное соединение, иначе называемое vpn-соединением (virtual private network connection, соединение виртуальной частной сети) эмулирует соединение "точка-точка". для эмуляции прямого соединения данные инкапсулируются специальным способом, т. е. снабжаются специальным заголовком, который предоставляет информацию о маршрутизации, чтобы пакет мог достигнуть адресата. получателем пакета является vpn-клиент, либо vpn-сервер. часть пути, по которому данные следуют в инкапсулированном виде, называется туннелем.

для организации безопасной виртуальной частной сети перед инкапсуляцией данные шифруются. перехваченные по пути следования пакеты невозможно прочитать без ключей шифрования. участок vpn-соединения, на котором данные передаются в зашифрованном виде, и называется, собственно, виртуальной частной сетью.

vpn-соединения создаются, управляются и уничтожаются с использованием специальных туннельных протоколов или протоколов туннелирования. vpn-клиент и vpn-сервер должны поддерживать один и тот же протокол туннелирования, чтобы создать vpn-соединение. сервер удаленного доступа под управлением windows 2000 - vpn-сервер, работающий по протоколам рртр и l2tp.

 

транспортные протоколы и удаленный доступ

необходимо учитывать протоколы, используемые в настоящий момент в сети - это может повлиять на планирование, интеграцию и настройку удаленного доступа. удаленный доступ в windows 2000 поддерживает транспортные протоколы tcp/ip, ipx/spx, appletalk и netbeui. это означает, что можно интегрировать сервер удаленного доступа на базе windows 2000 в существующую сеть microsoft, unix, apple macintosh или novell netware (по протоколу удаленного доступа ррр) или в сеть apple macintosh (по протоколу удаленного доступа arap). клиенты удаленного доступа windows 2000 могут также подключаться к серверам удаленного доступа slip (вероятнее

всего, на базе unix). при установке удаленного доступа любые протоколы, уже установленные на компьютере (tcp/ip, ipx, appletalk и netbeui) автоматически разрешаются к использованию для удаленного доступа на входящих и исходящих соединениях. для каждого протокола нужно задать доступ ко всей сети или только к серверу удаленного доступа (по умолчанию разрешен доступ ко всей сети). если предоставляется доступ ко всей сети с использованием tcp/ip или ipx, нужно также настроить ip-адрес или номер сети для ipx (для netbeui настройка не требуется).

 

tcp/ip

tcp/ip- один из наиболее популярных транспортных протоколов. его возможности маршрутизации и масштабирования предоставляют максимальную гибкость при организации корпоративной сети. каждый удаленный компьютер, который подключается к серверу удаленного доступа под управлением windows 2000 при помощи ррр и tcp/ip, автоматически получает ip-адрес. сервер удаленного доступа предоставляет клиенту удаленного доступа ip-адрес, который выделен сервером dhcp или выбран из статического диапазона ip-адресов, назначенных серверу удаленного доступа администратором.

если сервер удаленного доступа использует для получения ip-адресов dhcp, то он запрашивает 10 ip-адресов от сервера dhcp. сервер удаленного доступа использует первый ip-адрес, полученный от сервера dhcp, для себя и распределяет оставшиеся адреса клиентам удаленного доступа по мере установления соединений. ip-адреса освобождаются после отключения клиентов и используются многократно. когда сервер удаленного доступа использовал все 10 ip-адресов, он получает еще 10 адресов. если сервер dhcp недоступен, то автоматически выделяются частные ip-адреса в диапазоне от 169.254.0.1 до 169.254.255.254. другой источник адресов - статический пул ip-адресов, который задается в виде ip-адреса и маски.

в сети tcp/ip, кроме предоставления ip-адресов, клиентам может также потребоваться механизм сопоставления имен ip-адресам и наоборот - служба имен. в сети на базе windows 2000 используются следующие методы: dns и файл hosts для разрешения (resolution) имен хостов; wins и файл lmhosts для разрешения имен netbios. серверы удаленного доступа поддерживают все эти методы разрешения имен. сервер удаленного доступа предоставляет клиентам ip-адреса серверов dns и wins. клиенты удаленного доступа в малых сетях, где ip-адреса не изменяются, могут использовать файлы hosts или lmhosts для разрешения имен.

 

ipx

ipx - протокол, применяемый в сетях на базе novell netware. будучи маршрутизируемым, протокол ipx подходит для организации глобальных корпоративных сетей. сервер удаленного доступа под управлением windows 2000 может выполнять функции ipx-маршрутизатора, обеспечивающего передачу данных по протоколам rip и sap между сервером удаленного доступа и клиентом удаленного доступа, а также поддержку netbios поверх ipx. серверы удаленного доступа и их клиенты используют протокол конфигурации ipx (ipx configuration protocol, ipxcp), который описан в rfc 1552 и позволяет конфигурировать соединение удаленного доступа для ipx. после того как соединение сконфигурировано, сервер удаленного доступа позволяет клиентам удаленного доступа использовать службы доступа к файлам и печати netware и приложения windows sockets no ipx в глобальной ipx-сети.

серверы удаленного доступа предоставляют клиентам удаленного доступа, которые подключаются к сети ipx, номер сети ipx и номер узла. номер сети ipx генерируется автоматически сервером удаленного доступа или статически выделяется из пула сетевых номеров, сконфигурированного администратором.

 

netbeui

netbeui - протокол, предназначенный для применения в малых рабочих группах или локальных сетях. он может быть установлен на сервере удаленного доступа под управлением windows 2000. клиентам удаленного доступа на базе windows nt 3.1, lan manager, ms-dos и windows for workgroups требуется наличие протокола netbeui для установления соединения.

 

appletalk

windows 2000 предоставляет клиентам удаленного доступа appletalk две возможности:

клиенты apple macintosh могут звонить на сервер удаленного доступа под управлением windows 2000, используя протокол удаленного доступа appletalk (arap) и транспортный протокол appletalk.

клиенты apple macintosh могут устанавливать соединение с сервером удаленного доступа под управлением windows 2000 при помощи протокола удаленного доступа ррр и транспортный протокол appletalk. в такой конфигурации клиенты удаленного доступа получают параметры настройки appletalk от сервера удаленного доступа с использованием протокола управления appletalk (atcp), как это задано в rfc 1378.

функциональные возможности удаленного доступа appletalk в windows 2000 предназначены для поддержки клиентов удаленного доступа apple macintosh. клиент удаленного доступа под управлением windows 2000 не может использовать appletalk по arap или appletalk по ррр для установления исходящего соединения.

 

установка сервера удаленного доступа установка программного обеспечения

при инсталляции windows 2000 server по умолчанию устанавливается и служба маршрутизации и удаленного доступа (rras). однако изначально она не активизирована.

примечание

чтобы устанавливать и конфигурировать сервер удаленного доступа, нужно быть членом группы администраторы (administrators).

чтобы активизировать службу rras, в дереве оснастки необходимо развернуть узел маршрутизация и удаленный доступ (routing and remote access). затем в контекстном меню компьютера, для которого нужно запустить службу rras, выберите команду настроить и включить маршрутизацию и удаленный доступ (configure and enable routing and remote access). в окне мастер настройки сервера маршрутизации и удаленного доступа (routing and remote access configuration wizard) нажмите кнопку далее (next) и выберите опцию, соответствующую той функции, которую будет выполнять служба rras, например, переключатель сервер удаленного доступа (enable remote access only) или сетевой маршрутизатор (enable routing and remote access). нажмите кнопку далее (next) и следуйте командам мастера. в окне запроса нажмите кнопку да (yes), чтобы запустить службу маршрутизации и удаенного доступа.

xa xq

запуск мастера настройки сервера маршрутизации и удаленного доступа - довольно ответственный момент, поскольку автоматически создаваемые настройки далеко не всегда удовлетворяют всем требованиям конкретной ситуации. этот мастер конфигурирует службу rras только для одного из выбранных вариантов, а на практике служба rras выполняет, как правило, несколько функций одновременно (например, работает как сервер удаленного доступа и маршрутизатор, а также обеспечивает доступ к интернету).

функции службы rras, заданные изначально с помощью мастера настройки, можно изменять и расширять, для этого в дереве оснастки маршрутизация и удаленный доступ разверните, узел маршрутизация и удаленный доступ. затем в контекстном меню компьютера, для которого нужно активизировать удаленный доступ, выберите команду свойства (properties). например, чтобы включить сервер удаленного доступа, на вкладке общие (general) (рис. 19.1) установите флажок сервер удаленного доступа (remote access server).

чтобы настроить порт для удаленного доступа, в дереве оснастки выберите узел порты (ports), в контекстном меню узла порты выберите команду

свойства. в появившемся диалоговом окне свойства: порты (ports properties) (рис. 19.2) выберите устройство и нажмите кнопку настроить (configure).

рис. 19.1. включение сервера удаленного доступа
рис. 19.2. порты удаленного доступа

в диалоговом окне настройка устройства - имя_устройства (configure device - имя_устройства) выполните следующие действия (рис. 19.3):

1. чтобы активизировать удаленный доступ, установите флажок подключения удаленного доступа (только входящие) (remote access connections (inbound only)).

2. чтобы разрешить маршрутизацию с установлением соединения по требованию, установите флажок подключения по требованию (входящие и исходящие) - demand-dial routing connections (inbound and outbound).
рис. 19.3. настройка порта удаленного доступа

 

аппаратные требования

перед установкой сервера удаленного доступа необходимо подключить все аппаратные средства и проверить их функционирование. в зависимости от размеров и конфигурации сети и требований к удаленному доступу, могут понадобиться:

сетевой адаптер с драйвером, соответствующим спецификации ndis п один или несколько модемов и свободные сом-порты

многопортовый адаптер для достижения требуемой производительности (если необходимо поддерживать несколько соединений одновременно)

адаптер isdn (если используется линия isdn) о смарт-карта х.25 (для сетей х.25)

 

установка и настройка оборудования

 

модемы

модемы наиболее часто применяются для установления коммутируемого соединения. модемы предоставляют возможность установления соединения

на скорости до 33,6 кбит/с по обычной аналоговой телефонной линии или 57,6 кбит/с при наличии специального оборудования на сервере. чтобы гарантировать правильное функционирование модемов совместно с сервером удаленного доступа windows 2000, нужно выбрать их из списка аппаратной совместимости microsoft windows (ms windows hardware compatibility list). модемы этого списка были протестированы совместно с сервером удаленного доступа windows 2000. модемы от различных производителей и даже различные модели одного производителя могут оказаться частично или полностью несовместимыми.

примечание

для гарантии совместимости модемов желательно, чтобы и клиенты, и серверы удаленного доступа использовали модемы одного типа. если модемы соответствуют одним и тем же промышленным стандартам, они, скорее всего, будут совместимы, но все-таки безопаснее использовать одну модель как для клиентов, так и для сервера.

хотя модемы, не включенные в список совместимого оборудования, могут работать с сервером удаленного доступа, они еще не проверены на совместимость с программным обеспечением. если устанавливаются неподдерживаемые модемы, убедитесь, что они используют один из современных протоколов модуляции, компрессии и коррекции ошибок.

модемы, поддерживаемые windows 2000, определяются системой автоматически.

чтобы установить неподдерживаемый модем, необходимо выбрать панель управления | параметры телефона и модема (control panel | phone and modem options) и в открывшемся диалоговом окне нажать кнопку добавить (add). далее, в окне установка модема (install new modem) мастера установки оборудования установить флажок не определять тип модема (выбор из списка) (don't detect my modem; i will select it from a list) и нажать кнопку далее (next).

в списках изготовители (manufacturers) и модели (models) выбрать изготовителя и модель, наиболее соответствующие устанавливаемому модему, а затем нажать кнопку далее (next) и следовать дальнейшим командам мастера.

 

прямое соединение

можно объединить два компьютера без модема при помощи прямого последовательного соединения. для него не требуется сетевой адаптер, но это очень медленное соединение. конфигурация "нуль-модем" функционирует лучше всего на компьютерах, физически расположенных близко друг от друга.

чтобы сконфигурировать прямое последовательное соединение, необходимо выбрать значок панель управления | параметры телефона и модема и в открывшемся диалоговом окне нажать кнопку добавить.

в окне установка модема мастера установки оборудования выбрать флажок не определять тип модема (выбор из списка), а затем нажать кнопку далее.

в списке моделей выбрать последовательный кабель для связи компьютеров

(communications cable between two computers), затем нажать кнопку далее, далее следовать дальнейшим указаниям мастера.

 

совместно используемые модемы

служба удаленного доступа windows 2000 может работать с модемами, совместное использование которых обеспечивается программными и/или аппаратными средствами от сторонних поставщиков. таким образом, работа службы удаленного доступа возможна и с модемами, не установленными физически в компьютере.

 

isdn

цифровая сеть с интеграцией служб (integrated services digital network, isdn) предоставляет намного более быструю связь, чем обычная аналоговая телефонная линия. аналоговая телефонная линия позволяет устанавливать соединение со скоростями до 57,6 кбит/с, a isdn - со скоростями 64 или 128 кбит/с.

чтобы использовать линии isdn совместно с удаленным доступом windows 2000, необходимы:

последовательный порт

адаптер isdn, подключенный к последовательному порту

линия isdn состоит из двух в-каналов и одного d-канала. каждый в-канал передает данные со скоростью 64 кбит/с. d-канал является служебным и передает данные со скоростью 16 кбит/с.

необходимо установить адаптеры isdn как на сервере, так и на каждом клиенте. можно настроить каждый в-канал, чтобы он функционировал как отдельный порт, или настроить оба в-канала, чтобы они функционировали как один порт. если установленный адаптер isdn так настроить нельзя, то для логического объединения в-каналов в единый порт можно использовать многоканальное соединение (multilink).

 

х.25

х.25 - сеть, основанная на технологии коммутации пакетов, которая осуществляет надежную передачу данных. можно подключаться к сети х.25 при помощи прямого соединения с сетью или через асинхронное соединение, которое представляет собой коммутируемое соединение с pad (packet assembler/disassembler, сборщик/разборщик пакетов). сервер удаленного

доступа windows 2000 поддерживает только прямое соединение с сетью х.25 при помощи смарт-карт х.25.

 

многоканальные соединения

удаленный доступ windows 2000 поддерживает многоканальное соединение и протокол вар. при помощи многоканального соединения несколько физических линий представляются в виде одного логического соединения, которое используется для приема и передачи данных. один из примеров - объединение в-каналов isdn. многоканальное соединение должно поддерживаться на обоих концах логического соединения. многоканальное соединение не обеспечивает механизма адаптации к изменению условий, например, добавления дополнительных линий связи при необходимости или отключения ненужных. эта возможность обеспечивается протоколом вар, который динамически управляет многоканальным соединением.

например, многоканальное соединение с поддержкой вар позволяет клиенту и серверу удаленного доступа создать соединение, состоящее из единственного канала. клиент удаленного доступа может использовать сообщение запроса по протоколу вар, чтобы запросить подключение дополнительного канала. сообщение запроса вар определяет тип канала, например телефонное коммутируемое соединение, isdn или х.25. сервер удаленного доступа затем посылает ответное сообщение вар, которое содержит телефонный номер предоставляемого порта на сервере удаленного доступа того типа, какой затребован клиентом удаленного доступа в запросе вар. для многоканального соединения можно настраивать критерии подключения и отключения дополнительных линий.

 

коммутируемый доступ

компоненты коммутируемого доступа в windows 2000 описаны в табл. 19.3.

таблица 19.3. компоненты коммутируемого доступа

компонент

описание

серверы коммутируемого доступа

можно настроить сервер удаленного доступа, работающий под управлением windows 2000, чтобы он предоставлял доступ ко всей сети или только к ресурсам сервера удаленного доступа

клиенты коммутируемого доступа

клиенты удаленного доступа, работающие под управлением windows nt и windows 2000, windows 98, windows 95, windows for workgroups, ms-dos, lan manager или apple macintosh могут устанавливать соединения с сервером удаленного доступа под управлением windows 2000

транспортные протоколы и протоколы удаленного доступа

транспортные протоколы служат для базовой поддержки обмена информацией. протоколы удаленного доступа используются для установления соединения и поддержки кадрирования данных транспортного протокола, которые передаются по wan. удаленный доступ windows 2000 поддерживает протоколы tcp/ip, ipx, appletalk, и netbeui, которые обеспечивают доступ к интернету, unix, apple macintosh и ресурсам novell netware. удаленный доступ windows 2000 поддерживает протоколы удаленного доступа ррр, slip, arap и протокол microsoft ras (только для netbeui)

параметры wan

клиенты могут подключаться к серверу, используя стандартные телефонные линии и модем или группу модемов. большим быстродействием обладают isdn-подключения; можно подключать клиентов удаленного доступа к серверам удаленного доступа, используя х.25. также поддерживаются прямые соединения при помощи нуль-модема rs-232c или параллельного кабеля

основа для подключения к интернету

коммутируемый доступ windows 2000 предоставляет законченный набор служб для доступа в интернет. можно настроить компьютер под управлением windows 2000 server для работы в качестве сервера-провайдера услуг интернета, поддерживающего установление соединения с интернетом для клиентов, использующих протокол ррр. компьютер под управлением windows 2000 может подключаться к компьютеру под управлением windows nt server 3.5* (и выше), подключенному к интернету, или к любому серверу интернета, поддерживающему промышленные стандарты ррр или slip

параметры защиты

windows 2000 logon и безопасность домена, безопасность на основе хостов безопасности, шифрования данных, radius, смарт-карт, политики удаленного доступа и ответного вызова предоставляют надежную основу для организации безопасной службы удаленного доступа

 

серверы коммутируемого доступа

для администрирования сервера удаленного доступа под управлением windows 2000 служит оснастка маршрутизация и удаленный доступ (рис. 19.4). с ее помощью можно просматривать подключенных пользователей и управлять трафиком удаленного доступа. для коммутируемого доступа сервер должен иметь многопортовый адаптер, модемы и аналоговые телефонные линии или другие соединения с wan. если сервер предоставляет доступ к сети, необходимо установить отдельный сетевой адаптер, подключенный к тому сегменту сети, к которому сервер удаленного доступа предоставляет

доступ. серверы удаленного доступа под управлением windows 2000 можно настроить по окончании работы мастера конфигурирования rras. нужно определить протоколы, используемые в локальной сети (ipx, tcp/ip, appletalk и netbeui), и будет ли предоставляться доступ ко всей сети или только к серверу удаленного доступа. также необходимо выбрать параметры шифрования и проверки подлинности.

рис. 19.4. окно оснастки маршрутизация и удаленный доступ (routing and remote access)

 

клиенты коммутируемого доступа

клиентом коммутируемого доступа, который подключается к серверу удаленного доступа под управлением windows 2000, может быть компьютер с windows nt, windows 2000, windows 98, windows 95, windows for workgroups, ms-dos, lan manager или любой ррр-клиент. клиент должен иметь установленный модем, аналоговую телефонную линию или другое соединение wan и программное обеспечение удаленного доступа. можно автоматически соединяться с серверами удаленного доступа, используя службу autoras (диспетчер автоподключений удаленного доступа) windows 2000. диспетчер автоподключений удаленного доступа исследует каждое соединение, производимое через службу удаленного доступа, и автоматически повторно подключает к серверу удаленного доступа при повторном обращении к ресурсу. для клиентов windows 2000 можно автоматизировать процесс соединения, используя простой язык командных файлов и команду rasdiai.

 

клиенты ррр microsoft

клиенты ррр microsoft, использующие tcp/ip, ipx или netbeui, могут устанавливать соединение с сервером удаленного доступа под управлением windows nt 3.5 или выше (включая windows 2000). клиенты ррр microsoft

не могут работать с протоколом appletalk. сервер удаленного доступа автоматически аутентифицирует клиентов ррр. поддержка возможностей удаленного доступа для клиентов коммутируемого доступа ррр производства фирмы microsoft представлена в табл. 19.4.

таблица 19.4. совместимость ррр-клиентов microsoft

клиент коммутируемого удаленного доступа

поддерживаемые возможности ррр удаленного доступа windows 2000

неподдерживаемые возможности ррр удаленного доступа windows 2000

windows 2000

многоканальное соединение, протоколы вар, ms chap, chap, spap, pap, ms chapv2neap

-

windows nt 4.0

многоканальное соединение, протоколы ms chap, chap, spap, pap и ms chap v2

вар и еар

windows nt 3.5x

протоколы ms chap, chap, spap, pap и ms chap v2

многоканальное соединение, вар, ms chap v2 и еар

windows 98

многоканальное соединение, протоколы ms chap, chap, spap, pap и ms chap v2 (с установленным windows 98 service pack 1 и выше)

вар и еар

windows 95

ms chap, chap, spap и pap (с установленным windows dial-up networking 1 .3 performance & security upgrade for windows 95)

многоканальное соединение, вар, ms chap v2 и еар

 

клиенты ррр сторонних производителей

клиенты ррр от сторонних производителей, использующие tcp/ip, ipx, netbeui или appletalk, могут устанавливать соединения с сервером удаленного доступа под управлением windows 2000. сервер удаленного доступа автоматически аутентифицирует клиентов ррр. для этих клиентов не требуется никакой специальной настройки сервера удаленного доступа под управлением windows 2000. нужно только удостовериться, что сервер удаленного доступа и клиент ррр настроены на работу с одним и тем же транспортным протоколом и протоколом проверки подлинности.

 

клиенты microsoft ras

перечисленные в табл. 19.5 клиенты не могут использовать протокол удаленного доступа ррр, но поддерживаются сервером удаленного доступа под

управлением windows 2000 при помощи протокола microsoft ras. этот протокол удаленного доступа поддерживает в качестве транспортного только протокол netbeui.

таблица 19.5. особенности клиентов microsoft ras

клиент

особенности использования

windows nt 3.1

ос windows nt 3.1 использует протокол microsoft ras и полностью совместима со всеми версиями серверов удаленного доступа microsoft. эти клиенты не поддерживают протокол ррр, впервые реализованный в windows nt 3.5. только клиенты ррр windows nt 3.5 и выше обеспечивают поддержку приложений tcp/ip или ipx

windows for workgroups, ms-dos и lan manager

в поставку windows 2000 server входят microsoft network client for ms-dos и client for windows for workgroups, которые обеспечивают функций удаленного доступа. клиенты удаленного доступа windows for workgroups и lan manager также могут устанавливать соединение с серверами удаленного доступа на базе windows nt 3.5 и выше. microsoft network client for ms-dos должен быть настроен для использования полного редиректора (full redirector). если используется базовый редиректор (basic redirector), программу удаленного доступа rasphone нельзя запустить. клиенты windows for workgroups, ms dos и lan manager могут использовать шлюз удаленного доступа netbios, чтобы обратиться к ресурсам на базе протокола netbios, используя netbios поверх tcp/ip, netbios поверх ipx или netbeui через удаленное соединение. однако, поскольку эти клиенты не поддерживают ррр, они не могут использовать приложенияк которые работают непосредственно по протоколам tcp/ip или ipx. например, веб-серверы и серверы novell netware не будут доступны этим клиентам через коммутируемое соединение

 

клиенты slip

сервер удаленного доступа под управлением windows 2000 не поддерживает протокол удаленного доступа slip (serial line internet protocol, протокол интернета для работы по последовательной линии), т. е. клиенты slip не могут соединяться с сервером удаленного доступа под управлением windows 2000.

 

клиенты arap

сервер удаленного доступа под управлением windows 2000 поддерживает протокол удаленного доступа appletalk (appletalk remote access protocol, arap). клиенты коммутируемого доступа apple macintosh могут соединять

ся с сервером удаленного доступа под управлением windows 2000 и использовать протокол appletalk, чтобы обратиться к ресурсам корпоративной сети.

 

протоколы коммутируемого доступ

протоколы удаленного доступа управляют передачей данных через глобальную сеть (например, через телефонную сеть или сеть х.25). операционная система и транспортные протоколы, используемые клиентами и серверами удаленного доступа, определяют, какой протокол удаленного доступа могут использовать клиенты (табл. 19.6).

таблица 19.6. протоколы удаленного доступа, поддерживаемые windows 2000

протокол

поддержка

ррр

windows 2000 server поддерживает ррр - набор промышленных стандартов и протоколов проверки подлинности, позволяющих работать в сетях с продуктами нескольких производителей. microsoft рекомендует использовать ррр из-за его гибкости и статуса промышленного стандарта. применение ррр дает возможность компьютерам под управлением windows 2000 устанавливать соединение с удаленными сетями через любой сервер, соответствующий стандарту ррр. гибкость ррр также позволяет компьютеру под управлением windows 2000 принимать входящие соединения и обеспечивать доступ к сети для программного обеспечения удаленного доступа других поставщиков. архитектура ррр также позволяет клиентам удаленного доступа использовать любую комбинацию ipx, tcp/ p, netbeui и appletalk. на компьютере, работающем под управлением windows nt/2000, windows 98 или windows 95 и работающим со службой удаленного доступа, можно устанавливать любую комбинацию протоколов tcp/ip, ipx и netbeui, а также запускать программы, использующие интерфейсы windows sockets, netbios или ipx. клиенты удаленного доступа microsoft не поддерживают работу протокола appletalk по коммутируемому соединению

slip

slip - устаревший стандарт удаленного доступа, обычно используемый серверами удаленного доступа на базе unix. клиенты удаленного доступа под управлением windows 2000 поддерживают slip и могут соединяться с любым сервером удаленного доступа, используя стандарт slip. это позволяет клиентам windows nt 3.5 или выше устанавливать соединение с большим количеством коммуникационных серверов unix. сервер удаленного доступа под управлением windows 2000 не поддерживает клиентов slip

appletalk

протокол удаленного доступа appletalk (arap) - протокол удаленного доступа, используемый клиентами удаленного доступа apple macintosh. arap предоставляет службу для входа в систему, проверки подлинности и настройки протокола appletalk во время установления соединения и позволяет сменить пароли, как только связь установлена. клиент удаленного доступа под управлением windows 2000 не поддерживает arap

microsoft ras

протокол microsoft ras- отдельный протокол удаленного доступа, который поддерживает стандарт netbios. протокол microsoft ras поддерживается всеми версиями клиентов удаленного доступа microsoft и используется в windows nt 3.1, windows for workgroups, ms-dos и lan manager. клиент удаленного доступа, устанавливающий соединение с windows nt 3.1 или windows for workgroups, должен использовать протокол netbeui. сервер удаленного доступа в этом случае действует как шлюз netbios для удаленного клиента, обеспечивая доступ к серверам, которые используют netbeui, netbios no tcp/ip или netbios по протоколу ipx

 

построение виртуальных частных сетей (vpn)

виртуальные частные сети (virtual private network, vpn) на базе windows 2000 включают компоненты, указанные в табл. 19.7.

таблица 19.7. компоненты vpn

компонент

краткое описание

серверы vpn

сервер vpn предоставляет доступ ко всей сети или только к общим ресурсам самого сервера

клиенты vpn

vpn-клиенты- это отдельные компьютеры, использующие соединение удаленного доступа, или маршрутизаторы, использующие соединение для подключения сети срилиала. vpn-клиенты windows nt 4.0 и выше, windows 95 и windows 98 могут создавать vpn-соединения с сервером удаленного доступа под управлением windows 2000, который функционирует в качестве vpn-сервера. компьютеры под управлением windows 2000 server или windows nt 4.0 server, использующие службу маршрутизации и удаленного доступа (rras), могут организовывать сеть филиала и поддерживать коммутацию пакетов через vpn-соединения. vpn-клиентом может также быть любой клиент не-microsoft, поддерживающий рртр или l2tp (использующий защиту ipsec)

транспортные протоколы и протоколы удаленного доступа

транспортные протоколы используются прикладными программами для передачи информации. протоколы удаленного доступа нужны для того, чтобы устанавливать соединения и осуществлять кадрирование данных протокола lan, который передается по сети через wan. служба маршрутизации и удаленного доступа windows 2000 поддерживает протоколы, напримерtcp/ip, ipx,

(прод.)

appletalk и netbeui, которые позволяют осуществить доступ к интернету, unix, apple macintosh и ресурсам novell netware. для vpn-соединения служба маршрутизации и удаленного доступа windows 2000 поддерживает протокол удаленного доступа рртр

протоколы туннелирования

при помощи протоколов туннелирования vpn-клиенты создают защищенные соединения с vpn-серверами. windows 2000 включает протоколы туннелирования рртр и l2tp

параметры wan

vpn-серверы обычно связаны с интернетом на основе постоянных соединений или т-1. vpn-клиенты связываются с интернетом, используя постоянные соединения, либо используя стандартные аналоговые телефонные линии или isdn подключаются к локальному интернет-провайдеру

основа для подключения через интернет

vpn в windows 2000 предоставляет законченный набор услуг для vpn в интернет. можно настроить компьютер под управлением , windows 2000 server как сервер vpn, который предоставляет защищенные соединения как с клиентами удаленного доступа, так и с другими маршрутизаторами филиала

параметры безопасности

вход в систему windows 2000 и защита домена на базе хостов безопасности (security hosts), шифрования данных, radius, смарт-карт, фильтрации ip-пакетов, идентификатора вызывающего абонента (caller id) предоставляет безопасную среду для работы vpn-клиентов

 

клиенты vpn

клиентом виртуальной частной сети, который соединяется с серверами удаленного доступа под управлением windows 2000, может быть windows nt 4.0, windows 95 или windows 98 (табл. 19.8). для того чтобы принимать/передавать пакеты tcp/ip серверу удаленного доступа, клиенту требуется сетевой адаптер или модем и аналоговая телефонная линия или другое подключение к wan (isdn, x.25 и т. п.).

таблица 19.8. протоколы туннелирования для vpn-клиентов microsoft

vpn-клиент

поддерживаемые протоколы туннелирования

неподдерживаемые протоколы туннелирования

windows 2000 windows nt 4.0

pptphl2tp рртр

l2tp

vpn-клиент

поддерживаемые протоколы туннелирования

неподдерживаемые протоколы туннелирования

windows 98

рртр

l2tp

windows 95

рртр с установленным windows dial-up networking 1.3 performance & security upgrade for windows 95

l2tp

windows nt 3.5*

he поддерживает vpn

l2tp, рртр

поддержка протоколов проверки подлинности microsoft для клиентов vpn приведена в табл. 19.9.

таблица 19.9. поддержка vpn-клиентов

vpn-клиент

поддерживаемые протоколы аутентификации удаленного доступа windows 2000

неподдерживаемые протоколы аутентификации удаленного доступа windows 2000

windows 2000

ms chap, chap, spap (протокол проверки подлинности пароля pap), ms chap v2 и еар

-

windows nt 4.0

ms chap, chap, ppp, spap, pap и ms chap v2 (c windows nt 4.0 service pack 4)

еар

windows 98

ms chap, chap, ppp, spap, pap и ms chap v2 (вместе windows 98 service pack 1 или выше)

еар

windows 95

ms chap, chap, ppp, spap, pap и ms chap v2 (вместе windows dial-up networking 1 .3 performance & security upgrade for windows 95)

еар

клиенты vpn производства третьих фирм, использующие рртр или l2tp и ipsec, могут устанавливать соединение с сервером удаленного доступа под управлением windows nt 4.0 (только рртр) или windows 2000 (оба протокола). для клиентов сторонних производителей не требуется специальная настройка сервера удаленного доступа. однако, если требуется безопасное vpn-соединение, необходимо удостовериться, что клиенты виртуальной частной сети поддерживают соответствующее шифрование. для рртр требуется поддержка microsoft point-to-point encryption (мрре, шифрование microsoft типа "точка-точка"). для l2tp требуется шифрование ipsec.

 

серверы vpn

для администрирования сервера удаленного доступа, просмотра состояния подключенных vpn-клиентов и управления трафиком служит оснастка маршрутизация и удаленный доступ. для поддержки доступа при помощи виртуальных частных сетей через интернет сервер обычно имеет постоянное соединение с интернетом. можно также использовать и временное соединение с интернетом, если интернет-провайдер поддерживает установление коммутируемого соединения по запросу. соединение с провайдером будет установлено по инициативе провайдера, когда появится трафик, адресованный серверу vpn. если сервер vpn предоставляет доступ к сети, нужно установить отдельный сетевой адаптер и подключить его к сети, к которой сервер предоставляет доступ. сервер удаленного доступа можно настроить после того, как мастер конфигурации &.ras завершит свою работу. нужно определить протоколы, используемые в локальной сети (ipx, tcp/ip, appletalk, и netbeui) и то, осуществляется ли доступ по этому протоколу ко всей сети или только к серверу удаленного доступа. также нужно выбрать параметры шифрования и проверки подлинности.

 

протоколы туннелирования

в табл. 19.10 кратко описаны протоколы туннелирования, используемые vpn-сервером в среде windows 2000.

таблица 19.10. протоколы туннелирования

протокол

описание

рртр

point-to-point tunneling protocol (протокол туннелирования "точка-точка", рртр) - промышленный стандарт de facto для протоколов туннелирования, впервые появившийся в windows nt 4.0. рртр - расширение протокола ррр, в котором усилены функции подлинности, сжатия и механизмы шифрования протокола ррр. рртр устанавливается вместе со службой маршрутизации и удаленного доступа. по умолчанию рртр настроен на пять рртр-портов (одновременных соединений), которые разрешены для принятия входящих соединений. рртр и мрре предоставляют возможность защиты услуг vpn при помощи шифрования частных данных

l2tp

 

level 2 tunneling protocol (протокол туннеяирования второго уровня, l2tp) - протокол туннелирования, который планируется сделать промышленным стандартом. в отличие от рртр, l2tp в windows 2000 не использует мрре для шифрования датаграмм ррр. l2tp использует для шифрования ipsec. комбинация l2tp и ipsec известна как "l2tp поверх ipsec". l2tp и ipsec должны поддерживаться как vpn-кпи-ентом, так и vpn-сервером. l2tp устанавливается вместе со службой level 2 tunneling protocol (протокол туннелирования второго уровня, l2tp) - протокол туннелирования, который планируется сделать промышленным стандартом. в отличие от рртр, l2tp в windows 2000 не использует мрре для шифрования датаграмм ррр. l2tp использует для шифрования ipsec. комбинация l2tp и ipsec известна как "l2tp поверх ipsec". l2tp и ipsec должны поддерживаться как vpn-кли-ентом, так и vpn-сервером. l2tp устанавливается вместе со службой маршрутизации и удаленного доступа. по умолчанию l2tp настроен на пять 12тр-портов (одновременных соединений), которые разрешены для принятия входящих соединений. "l2tp поверх ipsec" предоставляет возможность защиты услуг vpn при помощи шифрования частных данных

 

защита удаленного доступа

проверка подлинности клиентов удаленного доступа - важная часть системы безопасности. методы проверки подлинности обычно.используют протокол проверки подлинности во время установления соединения. windows 2000 также поддерживает доступ без проверки подлинности.

 

свойства учетной записи пользователя

в windows 2000 учетная запись пользователя для автономного сервера или сервера в составе сети на базе active directory содержит набор свойств пользователя (табл. 19.11), которые используются при разрешении или запрещении попытки пользователя установить удаленное соединение. для автономного сервера можно устанавливать свойства пользователя на вкладке входящие звонки (dial-in) в окне учетной записи пользователя в оснастке локальные пользователи и группы (local users and groups). для сервера на базе active directory можно устанавливать свойства на вкладке входящие звонки (dial-in) в окне учетной записи пользователя в оснастке active directory - пользователи и компьютеры (active directory users and computers). нельзя использовать средство user manager for domains из состава windows nt 4.0 для серверов на базе active directory.

таблица 19.11. свойства учетной записи пользователя

свойство

описание

разрешение на удаленный доступ (remote access permission)

 

используется для того, чтобы определить, разрешен ли удаленный доступ явно, запрещен или задан политикой удаленного доступа. если доступ явно разрешен, то условия политики удаленного доступа, свойства учетной записи пользователя или свойства профиля могут запретить попытку соединения.

опция управление на основе политики удаленного доступа (control access through remote access policy) действует только для учетных записей пользователей для серверов удаленного доступа, работающих на автономном компьютере windows 2000 server или для членов домена windows 2000, работающего в основном (native) режиме

проверять идентификатор

(verify caller-id)

если это свойство разрешено, сервер проверяет телефонный номер вызывающей стороны. если он не соответствует настроенному номеру, попытка соединения отклоняется

ответный вызов

(callback options)

если это свойство разрешено, то при установлении соединения сервер запрашивает у вызывающей стороны указываемый ею телефонный номер или использует телефонный номер, заданный сетевым администратором, а затем производит ответный вызов

постоянный ip-адрес пользователя (assign a static ip-address)

если это свойство разрешено, можно назначать конкретный ip-адрес пользователю при установлении соединения

использовать статическую маршрутизацию

(apply static routes)

если это свойство разрешено, можно определять ряд статических маршрутов ip, которые добавляются в таблицу маршрутизации сервера удаленного доступа после установления соединения. этот параметр предназначен для учетных записей пользователей, с которыми работают маршрутизаторы windows 2000 в случае маршрутизации с установлением соединения по требованию

 

проверка подлинности

 

домен windows 2000 и active directory

сервер удаленного доступа под управлением windows 2000 server может использовать систему безопасности главного контроллера домена (pdc) windows nt (windows nt 4.0 server и более ранние) или систему безопасности windows 2000 active directory (windows 2000 server) при получении информации для проверки подлинности пользователей удаленного доступа. сервер удаленного доступа, работающий под управлением windows 2000 server, также хранит аутентификационную и учетную информацию для соединений удаленного доступа.

 

служба radius

служба radius (remote authentication dial-in user service, служба проверки подлинности удаленных пользователей) соответствует промышленным

стандартам (rfc 2138 и 2139) и предоставляет централизованные услуги по проверке подлинности и учету для служб удаленного доступа. серверы службы radius используются интернет-провайдерами и корпоративными заказчиками. клиентом radius обычно является сервер удаленного доступа.

в состав windows 2000 server входит сервер radius, который называется служба проверки подлинности в интернете (internet authentication server).

в windows 2000 поставщиков аутентификационной и учетной информации для сервера удаленного доступа можно задавать независимо друг от друга. сервер удаленного доступа может, например, в качестве поставщика аутентификационной информации использовать windows 2000, а в качестве поставщика учетной информации - сервер radius.

 

доступ без проверки подлинности

windows 2000 поддерживает также доступ без проверки подлинности (табл. 19.12), который означает, что серверу удаленного доступа не требуется идентификационная информация пользователя (имя пользователя и пароль).

таблица 19.12. варианты доступа без проверки подлинности

способ проверки подлинности

описание

dnis-проверка подлинности

проверка подлинности при помощи dialed number identification service (служба идентификации номера, dnis) - аутентификация попытки соединения, основанная на номере, с которого производится звонок. сервис dnis возвращает телефонный номер вызывающей стороны; эту услугу предоставляет большинство современных телефонных компаний (в сша и др. высокоразвитых странах, в россии ситуация отличается). для распознавания dnis-соединений и применения параметров, соответствующих соединению, необходимо разрешить доступ без проверки подлинности и создать политику удаленного доступа, которая использует called-statfon-id в качестве условия

проверка подлинности при помощи автоматического определения номера

 

автоматическое определение номера/определение вызывающей линии (automatic number identification/calling line identification, ani/cli) - аутентификация соединения, основанная на телефонном номере вызывающей стороны. сервис ani/cli возвращает номер вызывающей стороны; эту услугу предоставляет большинство современных телефонных компаний (в сша и др. высокоразвитых странах). для распознавания ani/cli-соединений и применения параметров, соответствующих соединению, необходимо разрешить доступ без проверки подлинности и создать политику удаленного доступа, которая использует calling-statjon-id в качестве условия. эта аутентификация отличается от аутентификации по caller-id. в аутентификации по caller-id вызывающая сторона должна послать имя пользователя и пароль (которые будут поставлены в соответствие учетной записи пользователя), в ani/cli передача имени и пароля не требуется

гостевая проверка подлинности

в течение процесса проверки подлинности вызывающая сторона не посылает имя пользователя или пароль. если разрешен доступ без проверки подлинности, для идентификации вызывающей стороны используется учетная запись guest

 

предупреждение

если разрешен доступ без проверки подлинности, пользователи удаленного доступа могут устанавливать соединения без передачи идентификационной информации пользователя.

клиенты удаленного доступа под управлением windows 2000 не могут соединяться без передачи имени пользователя и пароля. доступ без проверки подлинности предназначен для клиентов удаленного доступа сторонних производителей.

 

протоколы проверки подлинности еар

при помощи еар (extensible authentication protocol, расширяемый протокол идентификации) можно подключить любой механизм проверки подлинности (аутентификации), который будет проверять достоверность информации о пользователе, установившем соединение удаленного доступа. точная схема аутентификации, используемая соединением, устанавливается в результате переговоров между клиентом удаленного доступа и сервером удаленного доступа. можно применять еар для поддержки разных схем аутентификации, например, типа general token card (универсальная жетонная карта), md5-challenge (запрос md5), tls (transport level security, защита транспортного уровня) для поддержки смарт-карт, а также s/key. впрочем, можно использовать любые другие схемы, реализуемые в будущем. еар позволяет производить открытые переговоры между клиентом удаленного доступа и сервером удаленного доступа, состоящие из запросов сервера на получение аутентификационной информации и соответствующих ответов клиента. например, если еар используется с жетонными картами, сервер удаленного доступа может отдельно запросить у клиента удаленного доступа название, pin-код и емкость жетонной карты. если на все вопросы получены удовлетворительные ответы, клиент удаленного доступа аутентифицируется и получает разрешение на удаленный доступ к сети.

специальная схема проверки подлинности еар называется типом еар (еар type). для успешной проверки подлинности клиента клиент удаленного доступа и сервер удаленного доступа должны поддерживать один и тот же тип еар.

windows 2000 включает поддержку инфраструктуры еар, два типа еар (eap-md5 chap и eap-tls) и возможность передавать сообщения еар серверу radius (eap-radius).

чтобы разрешить проверку подлинности на базе еар, нужно:

разрешить еар как протокол проверки подлинности на сервере удаленного доступа.

разрешить еар, и, если требуется, настроить тип еар для соответствующей политики удаленного доступа.

разрешить и настроить еар на стороне клиента удаленного доступа под управлением windows 2000.

 

ms chap

windows 2000 включает поддержку ms chap (microsoft challenge handshake protocol, протокол проверки подлинности запроса-подтверждения microsoft), также известный как ms chap версии 1. ms chap - это протокол проверки подлинности с необратимым шифрованием пароля.

 

ms chap версии 2

windows 2000 включает поддержку протокола ms chap, который предоставляет более сильную защиту для соединения удаленного доступа. ms chap v2 решает некоторые проблемы функционирования ms chap версии 1 (табл. 19.13).

ms chap версии 2 - это протокол взаимной проверки подлинности с односторонним шифрованием пароля.

таблица 19.13. сравнение ms chap версий 1 и 2

проблемы ms chap версии 1

решение в ms chap версии 2

кодирование ответа по схеме lan manager, которое используется для обратной совместимости со старыми клиентами microsoft удаленного доступа, использует слабое шифрование

ms chap v2 более не поддерживает ответы, закодированные по схеме lan manager

кодирование пароля по схеме lan manager использует слабое шифрование

ms chap v2 более не поддерживает передачу изменений паролей, закодированных по схеме lan manager

возможна только однонаправленная проверка подлинности. клиент удаленного доступа не может проверить, соединился он с подлинным или с ложным (подставным) сервером удаленного доступа

ms chap v2 поддерживает двустороннюю проверку подлинности, также называемую взаимной проверкой подлинности. клиент удаленного доступа проверяет, к тому ли серверу удаленного доступа он подключился

при 40-разрядном шифровании ключ шифрования основывается на пароле пользователя. каждый раз, когда пользователь подключается с тем же самым паролем, будет сгенерирован тот же самый ключ

при использовании ms chap v2 ключ шифрования основывается на пароле пользователя и произвольной строке запроса. каждый раз, когда пользователь подключается с тем же самым паролем, используется другой ключ

используется единый ключ шифрования для данных, передаваемых в обоих направлениях соединения

используются отдельные ключи шифрования, которые генерируются для передаваемых и получаемых данных

 

chap

протокол проверки подлинности chap - протокол проверки подлинности типа "запрос-ответ", использующий схему хэширования md-5 (message digest, дайджест сообщения) для шифрования ответа. chap используется различными производителями по серверов и клиентов удаленного доступа. сервер удаленного доступа windows 2000 поддерживает chap для проверки подлинности клиентов удаленного доступа сторонних поставщиков.

 

spap

spap (shiva password authentication protocol, протокол проверки подлинности пароля shiva) использует реверсивный механизм шифрования shiva. windows 2000 использует spap при соединении с shiva lan rover. также поступает и клиент shiva, который соединяется с сервером удаленного доступа под управлением windows 2000 server. эта схема проверки подлинности более безопасна, чем передача данных открытым текстом, но менее безопасна, чем chap или ms chap.

 

pap

протокол pap использует пароли, передаваемые открытым текстом, и является наименее сложным протоколом проверки подлинности. обычно соединение на его основе устанавливается, если клиент удаленного доступа и сервер удаленного доступа не могут договориться о более безопасной форме проверки подлинности.

когда рар устанавливается в качестве опознавательного протокола, пароли пользователей передаются открытым текстом. всякий, кто перехватит пакеты процесса проверки подлинности, может легко прочитать пароль и использовать его для несанкционированного доступа к корпоративной сети. нежелательно использовать рар, особенно для соединений vpn. после отключения проверки подлинности на базе рар на сервере удаленного доступа пароли никогда не будут передаваться открытым текстом. отключение рар увеличивает защиту проверки подлинности, но после этого клиенты удаленного доступа, которые поддерживают только рар, не смогут установить соединение.

 

arap

клиенты apple macintosh могут подключаться к серверу удаленного доступа windows 2005 при помощи протоколов arap (appletalk remote access protocol, протокол удаленного доступа appletalk) и appletalk. когда удаленный доступ разрешен для гостевой учетной записи arap-клиента, сервер будет опрашивать подключающихся пользователей, действительно ли они хотят входить в систему в качестве гостя. если разрешен доступ без проверки подлинности, пользователи удаленного доступа могут устанавливать соединения без передачи идентификационной информации. чтобы запретить такой доступ для всех учетных записей, кроме гостевой записи пользователей appletalk, нужно создать политику удаленного доступа для пользователей appletalk и установить атрибут framed-protocol равным appletalk remote access protocol (arap).

 

шифрование данных

для защиты данных, передаваемых между клиентом и сервером удаленного доступа, можно использовать шифрование. шифрование данных важно для финансовых учреждений, правоохранительных и правительственных органов и корпорации, которым требуется безопасная передача данных. для служб, требующих конфиденциальности данных, сетевой администратор может настроить сервер удаленного доступа на использование только шифрованного обмена данными. пользователи, которые соединяются с таким сервером, должны шифровать свои данные, иначе соединение не производится.

при коммутируемом соединении можно защитить данные, зашифровав их на пути между клиентом и сервером удаленного доступа. шифрование данных необходимо, если есть риск перехвата данных на линии связи между клиентом и сервером удаленного доступа. для коммутируемых сетевых соединений windows 2000 использует шифрование "точка-точка" microsoft (microsoft point-to-point encryption, mppe). mppe требует применения протоколов проверки подлинности ms chap или eap-tls.

при vpn-соединении можно защитить данные, зашифровав их на пути между концами виртуальной частной сети (vpn). необходимо применять шифрование данных для vpn-соединения, если частные данные передаются по сети общего пользования (например, интернет), где всегда есть риск перехвата данных. для vpn-соединения windows 2000 использует шифрование мрре с протоколом рртр и шифрование ipsec с протоколом l2tp, поскольку шифрование данных выполняется между vpn-клиентом и vpn-сервером, то на соединении между клиентом удаленного доступа и интернет-провайдером оно уже не является необходимым.

шифрование данных для ррр- или рртр-соединения возможно, только если используются протоколы проверки подлинности ms chap или eap-tls. шифрование данных для pтр-соединения основано на механизмах ipsec, для которых специальные протоколы проверки подлинности не требуются.

 

правила предоставления удаленного доступа

после того как установлен сервер удаленного доступа, нужнб определить, какие пользователи могут устанавливать соединение с ним. для windows 2000 разрешение удаленного доступа определяется политикой удаленного доступа и учетной записью пользователя.

не нужно создавать отдельные учетные записи только для пользователей удаленного доступа. серверы удаленного доступа используют учетные записи пользователей, расположенные в общей базе данных учетных записей пользователей согласно общим механизмам защиты windows 2000.

 

защита при подключении

вот пошаговая схема процесса, происходящего при запросе клиента удаленного доступа к серверу удаленного доступа под управлением windows 2000:

1. клиент удаленного доступа набирает номер сервера удаленного доступа.

2. происходит физическое соединение (например, двух модемов).

3. сервер посылает запрос клиенту.

4. клиент посылает зашифрованный ответ серверу.

5. сервер проверяет ответ при помощи базы данных учетных записей пользователей.

6. если учетная запись существует и не заблокирована, сервер принимает решение об установлении соединения в соответствии с политикой удаленного доступа и свойствами учетной записи пользователя для клиента удаленного доступа.

7. если разрешена функция ответного вызова, сервер вызывает клиента и продолжает переговоры о соединении. шаги 3 и 4 предполагают, что

клиент и сервер удаленного доступа используют протоколы проверки подлинности ms chap или chap. для других протоколов проверки подлинности схема посылки клиентской идентификационной информации может отличаться от описанной.

 

защита после подключения

после проверки подлинности удаленного доступа и подключения клиента к lan клиент удаленного доступа может обращаться только к тем сетевым ресурсам, для которых он имеет соответствующее разрешение. клиенты удаленного доступа подчиняются общим схемам безопасности windows 2000 так же, как если бы они физически располагались в lan. другими словами, клиенты удаленного доступа не могут выполнять действия, не имея достаточных на то полномочий, и не могут обращаться к ресурсам, для которых они не имеют соответствующих разрешений.

клиенты удаленного доступа должны быть проверены на подлинность сервером удаленного доступа до обращения к ресурсам и обмена данными по сети. эта проверка подлинности - шаг, отдельный от регистрации в windows 2000. при передаче по телефонным линиям пароли пользователей и процесс проверки подлинности можно шифровать.

можно ограничить клиента удаленного доступа доступом только к общим ресурсам сервера удаленного доступа, а не к ресурсам всей сети, к которой подключен сервер удаленного доступа. администратор может управлять тем, какая информация будет доступна клиентам удаленного доступа, и ограничивать доступ пользователей в случае нарушения защиты.

 

caller id

при настройке защиты удаленного доступа на использование caller id (идентификатор звонящего абонента) задается телефонный номер, с которого пользователь должен осуществлять связь. если пользователь производит попытку соединения с другого номера, сервер удаленного доступа отклоняет ее.

предупреждение

caller id должен поддерживаться вызывающей стороной, телефонной сетью между вызывающей стороной и сервером удаленного доступа, а также сервером удаленного доступа. поддержка caller id на стороне сервера удаленного доступа состоит из оборудования, отвечающего на вызов. это оборудование должно поддерживать передачу caller id соответствующему встроенному драйверу windows 2000, который, в свою очередь, поддерживает передачу caller id вызывающей стороны службе маршрутизации и удаленного доступа.

если поддержка caller id разрешена, но какая-то часть оборудования или программного обеспечения не поддерживает caller id, то устанавливающему соединение пользователю будет отказано в доступе.

особенности применения caller id обеспечивают большую степень безопасности для организации труда надомных работников (telecommuters). недостаток caller id заключается в том, что пользователь может получить удаленный доступ только с конкретной телефонной линии.

кроме того, надо учесть, что функция caller id в россии недоступна на большинстве телефонных станций, кроме современных цифровых станций, устанавливаемых взамен старых, или коммерческих провайдеров телефонных услуг.

 

ответный вызов

если применяется ответный вызов, пользователь инициализирует запрос и соединяется с сервером удаленного доступа (табл. 19.14). сервер удаленного доступа после проверки подлинности пользователя "вешает трубку" и осуществляет ответный вызов по номеру, определенному звонящим пользователем или заданному администратором. привилегия ответного вызова назначается для каждого пользователя, если ему предоставлено разрешение удаленного доступа.

таблица 19.14. варианты ответного вызова

вариант

описание

нет ответного вызова (no callback)

если учетная запись пользователя не настроена для ответного вызова, сервер удаленного доступа устанавливает соединение сразу, как только попытка соединения была принята

устанавливается вызывающей стороной (set by caller)

эта функция не повышает защищенность удаленного доступа, она полезна для клиентов, которые звонят из разных мест (регионов, городов, стран) и с разных телефонных номеров, снижая их затраты. когда запрос на ответный вызов обрабатывается сервером удаленного доступа, происходят следующие события:

  • сначала сервер определяет, являются ли имя пользователя и пароль верными

  • если имя пользователя и пароль подтверждены, на компьютере пользователя появляется диалоговое окно ответный вызов (callback)

  • пользователь вводит свой текущий номер телефона для ответного вызова в диалоговом окне

  • номер ответного вызова передается серверу

  • запрос на ответный вызов закончен, связь разрывается

  • сервер производит звонок клиенту по номеру ответного вызова

  • после того как связь повторно установлена, клиент и сервер продолжают переговоры по установлению соединения

 

всегда осуществлять ответный вызов по заданному номеру (always callback to)

этот вариант наиболее приемлем для реализации дополнительного уровня защиты: необходимо выбрать его и ввести номер телефона, с которым связано оборудование удаленного доступа пользователя. когда запрос пользователя поступает на сервер удаленного доступа, происходят следующие события:

  • сначала сервер определяет, являются ли имя пользователя и пароль верными .

  • запрос на ответный вызов закончен, связь разрывается

  • сервер производит звонок клиенту по номеру ответного вызова, заданному в его учетной записи

  • после того как связь повторно установлена, клиент и сервер продолжают переговоры по установлению соединения

 

хосты безопасности

хост безопасности - устройство проверки подлинности сторонних производителей, которое проверяет, имеет ли вызывающий клиент удаленного доступа разрешение на соединение с сервером удаленного доступа. эта проверка дополняет систему безопасности, предоставляемую сервером удаленного доступа под управлением windows 2000.

хост безопасности располагается между клиентом и сервером удаленного доступа. хост безопасности предоставляет дополнительный уровень безопасности, требуя наличие некоторого аппаратного ключа для проверки подлинности. проверка того, что клиент удаленного доступа владеет ключом, производится до подключения к серверу удаленного доступа. эта открытая архитектура позволяет заказчикам выбирать из ряда хостов безопасности разных провайдеров для увеличения безопасности удаленного доступа.

 

блокировка учетной записи

блокировка учетной записи (account lockout) - еще одна отличительная особенность безопасности, которая отменяет разрешение удаленного доступа для учетной записи пользователя после заданного числа неудавшихся попыток проверки подлинности.

можно использовать блокировку учетной записи, чтобы определить, сколько раз происходил сбой проверки подлинности удаленного доступа до того момента, как разрешение удаленного доступа для учетной записи пользователя будет отменено. блокировка учетной записи особенно важна для удаленного

доступа по vpn-соединению через интернет. сторонние пользователи злоумышленники из интернета могут пытаться получить доступ к интрасети, посылая идентификационную информацию (настоящее имя пользователя и предполагаемый пароль) в течение процесса проверки подлинности vpn-соединения. при атаке с применением словаря пользователь-злоумышленник посылает сотни, даже тысячи пар "имя-пароль" по списку, основанному на общих словах, именах или фразах.

если разрешить блокировку учетной записи, атака по словарю будет остановлена после заданного числа неудавшихся попыток. сетевой администратор должен настроить две переменные, управляющие блокировкой учетной записи при удаленном доступе:

число неудавшихся попыток до отмены разрешения удаленного доступа для учетной записи пользователя.

частоту обнуления счетчика неудавшихся попыток (нужно периодически сбрасывать счетчик неудавшихся попыток, чтобы предотвратить длительную блокировку учетной записи из-за ошибок пользователя при наборе пароля).

чтобы разрешить возможность блокировки учетной записи, нужно изменить параметры в системном реестре windows 2000.

предупреждение

некорректное редактирование системного реестра может нарушить работоспособность системы. перед изменением системного реестра нужно сделать его резервную копию.

чтобы разрешить блокировку учетных записей, необходимо установить значение параметра maxdenials больше или равным 1. по умолчанию maxdenials=0 (блокировка учетной записи запрещена). параметр maxdenials - максимальное число неудачных попыток, произошедших до блокировки учетной записи:

hkey_local_machine\system\curremcontrolset\services \remoteaccess\parameters\accountlockout\maxdenials

чтобы изменить временной интервал до сброса счетчика неудачных попыток, необходимо установить значение параметра resettime равным заданному числу минут:

hkey_local_machine\system\currentcontrolset\services \remoteaccess\parameters\accountlockout\resettime

по умолчанию resettime = охь40 (2,880 мин или 48 ч).

 

регистрация и протоколирование

сервер удаленного доступа windows 2000 поддерживает два типа регистрации:

регистрация событий ras - регистрация событий в журнале событий системы windows 2000. обычно используется для решения проблем или уведомления системных администраторов о необычных событиях.

регистрация проверки подлинности и учетной информации - сервер удаленного доступа под управлением windows 2000 поддерживает эту регистрацию для соединений удаленного доступа, если разрешен сбор учетной информации windows (windows accounting). эта регистрация происходит отдельно от событий, зарегистрированных в системном журнале событий. на основе регистрируемой информации можно проследить использование удаленного доступа и попытки аутентификации. регистрация особенно полезна для оперативного решения проблем при работе с политиками удаленного доступа. для каждой попытки аутентификации регистрируется название политики удаленного доступа, в соответствии с которой была принята или отклонена попытка установления соединения. аутентификационная и учетная информация сохраняются в файле (или файлах) журнала, который находится в папке %systemroot9£\system32 \logfiles. журналы хранятся в формате ias 1.0 или ias 2.0. файлы журнала доступны через интерфейс odbc - любая программа, поддерживающая odbc, может читать журнал напрямую для анализа содержащейся в нем информации.
рис. 19.5. типы регистрируемых событий
рис. 19.6. параметры настройки журнала

чтобы настроить регистрацию проверки подлинности и учетной информации, сначала нужно разрешить сбор учетной информации windows далее можно настроить тип регистрируемых действий (учет или действия по проверке подлинности) (рис. 19.5) и параметры журнала (рис. 19.6). чтобы настроить регистрацию, выполните одно из следующих действий:

откройте окно оснастки маршрутизация и удаленный доступ. выберите сервер, для которого нужно настроить регистрацию.

откройте окно оснастки служба проверки подлинности в интернете

(internet authentication service).

в дереве оснастки выберите узел ведение журнала удаленного доступа

(remote access logging). в правом подокне выберите любой журнал затем в контекстном меню выберите команду свойства.

 

политика удаленного доступа

политика удаленного доступа - набор условий и параметров соединения которые предоставляют сетевому администратору больше гибкости в настройке разрешений удаленного доступа и атрибутов соединения. политика удаленного доступа хранится на локальном компьютере. при помощи политики удаленного доступа можно предоставлять разрешения удаленного доступа в зависимости от времени дня, дня недели, группы windows, к которой принадлежит звонящий пользователь, типа требуемого соединения (коммутируемое или vpn-соединение). можно определить параметры настройки соединения, которые ограничивают максимальное время сеанса связи, тип аутентификации и шифрования, политику вар и фильтрацию ip-пакетов.

в windows nt 3.5 и 4.0 удаленный доступ предоставлялся на основе простого разрешения удаленного доступа с применением утилит user manager или routing and remote access admin. параметры ответного вызова задавались для каждого пользователя. в windows 2000 разрешения удаленного доступа предоставляются на основе свойств политики удаленного доступа и учетной записи пользователя.

важно помнить, что при использовании политик удаленного доступа соединение разрешается, только если параметры настройки соединения соответствуют, по крайней мере, одной из политик удаленного доступа (в соответствии со свойствами учетной записи пользователя и конфигурацией политики удаленного доступа). если параметры настройки при попытке соединения не соответствуют хотя бы одной из политик удаленного доступа, попытка соединения отклоняется, независимо от свойств учетной записи пользователя. на серверах удаленного доступа под управлением windows 2000 политика удаленного доступа конфигурируется из оснастки rras. на серверах ias в среде windows 2000 политика удаленного доступа управляется из оснастки служба проверки подлинности в интернете.

 

элементы политики удаленного доступа

политика удаленного доступа - именованное правило, в которое входят следующие элементы: условия, разрешение (право) удаленного доступа, а также профиль.

условия (conditions). .условия политики удаленного доступа- это один или несколько атрибутов (рис. 19.7, табл. 19.15), которые сравниваются с параметрам настройки попытки соединения. если имеется несколько условий, то все условия должны соответствовать параметрам попытки соединения, которое сопоставляется политике.

таблица 19.15. условия политики удаленного доступа

наименование атрибутаописание
nas-ip-address
service-type (тип службы)тип требуемой службы. этот атрибут разработан (предназначен) для сервера ias
framed-protocol (протокол кадрирования)используемый тип кадрирования для входящих пакетов. примеры - ррр, appletalk, slip, x.25. этот атрибут предназначен для сервера ias
called-station-id (идентификатор вызванной системы)номер телефона сервера сетевого доступа (n as). этот атрибут- символьная строка. можно использовать шаблон, чтобы задать коды городов. необходимо позаботиться об установке телефонного номера для портов
calling-station-id (идентификатор вызывающей системы)номер телефона, использованный вызывающей системой. этот атрибут- символьная строка. можно использовать шаблоны, чтобы задать коды городов
nas-port-type (тип порта nas)тип носителей, используемых вызывающей стороной. примеры- аналоговые телефонные линии (асинхронные линии), isdn, туннели или виртуальные частные сети
day-and-time-restrictions (ограничения по дню и времени)день недели и время попытки соединения с сервером
client-ip-address (клиентский ip-адрес)ip-адрес сервера сетевого доступа (клиент radius). этот атрибут - символьная строка. можно использовать синтаксис шаблонов, чтобы определить ip-сеть. этот атрибут предназначен для сервера ias
client-vendor (изготовитель клиента)имя изготовителя (поставщика) сервера сетевого доступа (nas). у сервера удаленного доступа windows 2000 изготовителем является microsoft ras. можно использовать этот атрибут, чтобы конфигурировать разные политики для различных nas-поставщиков, которые являются клиентами raidus (клиенты ias). этот атрибут предназначен для сервера ias. удостоверьтесь, что nas настроен в качестве клиента radius на сервере ias

client-friendly name (имя клиента, дружественное название)

название компьютера клиента radius, который требует аутентификации. этот атрибут- символьная строка. можно использовать шаблон, чтобы задать имена клиентов. этот атрибут предназначен для сервера ias

windows-groups (группы windows)

имена групп windows, которым принадлежит пользователь, делающий попытку соединения. нет никакого атрибута для отдельного имени пользователя. не нужно иметь отдельную политику удаленного доступа для каждой группы. используя вложенные группы можно перевести администрирование на уровень групп. для сервера удаленного доступа или ias при работе домена в основном (native) режиме windows 2000 необходимо использовать универсальные (universal) группы

рис. 19.7. добавление политики удаленного доступа - условия и атрибуты
право удаленного доступа (remote access permission). если все условия политики удаленного доступа выполнены, то право удаленного доступа или предоставляется, или отклоняется. для политики нужно выбрать положение переключателя предоставить право удаленного доступа (grant remote access permission) или запретить разрешение удаленного доступа (deny remote access permission). право удаленного доступа также предоставляется или отклоняется для каждой учетной записи пользователя. право удаленного доступа пользователю перекрывает право удаленного доступа политики. если право удаленного доступа в учетной записи пользователя установлено в значение управление на основе политики удаленного доступа (control access through remote access policy), удаленный доступ предоставляется согласно разрешению политики. предоставление доступа через настройку права учетной записи пользователя или настройку права политики - это только первый шаг в принятии соединения. параметры попытки соединения сравниваются с параметрами учетной записи пользователя и профилем политики. попытка соединения, не соответствующая свойствам учетной записи пользователя или профиля, отклоняется. по умолчанию для политики удаленного доступа установлено значение отказать в праве удаленного доступа (deny remote access permission).

профиль (profile). профиль политики удаленного доступа - набор параметров, которые применяются к соединению после того (post-условие), как

разрешение удаленного доступа будет получено (в соответствии с учетной записью пользователя или политикой) (рис. 19.8, табл. 19.16).

рис. 19.8. окно профиля политики удаленного доступа

таблица 19.16. параметры профиля политики удаленного доступа

название параметра

описание

 

параметры соединения

разъединение при простое (idle disconnect time)

временной интервал, по истечении которого соединение будет прервано, если нет никаких действий. по умолчанию это свойство не установлено, и сервер удаленного доступа не разрывает неактивное соединение

максимальная продолжительность сеанса (maximum session length)

максимальное время до разрыва соединения сервером удаленного доступа. по умолчанию это свойство не установлено, а сервер удаленного доступа не ограничивает время сеанса связи

разрешить входящие подключения только в эти дни и время

(day and time limits)

дни недели и часы для каждого дня, во время которых соединение разрешено. если день и время попытки соединения не соответствуют настройкам, попытка соединения отклоняется. по умолчанию это свойство не установлено, и сервер удаленного доступа не анализирует данные параметры

разрешить вход только по номеру

(dial-in number)

заданный номер телефона, который вызывающая сторона должна набрать, чтобы установить соединение. если номер соединения не соответствует заданному, попытка соединения отклоняется. по умолчанию это свойство не установлено, и сервер удаленного доступа позволяет устанавливать соединение с любого телефонного номера

разрешить входящие звонки следующих типов (dial-in media)

специальные типы носителей, например модем, isdn или vpn, который вызывающая сторона должна использовать для соединения. если попытка соединения по коммутируемой среде не соответствует настройке, она отклоняется. по умолчанию это свойство не установлено, и сервер удаленного доступа разрешает все типы сред передачи данных

прочие параметры (вкладки на рис. 19.8)

ip

позволяют устанавливать свойства ip, которые управляют выдачей клиентам ip-адресов для соединения. по умолчанию сервер удаленного доступа автоматически распределяет ip-адреса, и клиентам не разрешено запрашивать конкретные ip-адреса

многоканальное подключение

(multilink)

позволяют устанавливать свойства многоканального соединения, разрешающие многоканальную связь и определяющие максимальное число портов, которые могут использовать входящие соединения. дополнительно позволяют устанавливать протокол вар и соответствующую политику, которая определяет его использование. по умолчанию многоканальное соединение и вар заблокированы. для применения этих параметров сервер удаленного доступа должен иметь возможность установления многоканального соединения и установленный протокол вар

проверка подлинности

(authentication)

позволяют указать типы проверки подлинности, разрешенные для соединения, и определить тип используемого еар. по умолчанию разрешены методы проверки подлинности с шифрованием - ms chap и ms pap v2 . для применения этих параметров на сервере удаленного доступа должны быть разрешены соответствующие типы проверки подлинности

шифрование

(encryption)

позволяют назначить шифрование данных для соединения, при этом можно указать конкретные типы шифрования. по умолчанию разрешено шифрование ipsec и мрре

дополнительно

(advanced)

позволяют настроить дополнительные свойства для определения ряда атрибутов radius, которые сервер ias возвращает клиенту radius. по умолчанию протоколом удаленного доступа (framing protocol) является ррр и установлен параметр service type = framed. единственные атрибуты, используемые сервером удаленного доступа account-interim-interval, framed-protocol, framed-mtu, reply-message и service-type

 

политика удаленного доступа по умолчанию

политика удаленного доступа по умолчанию (default policy) работает так: удаленный доступ с ее использованием разрешается, если для устанавливающего входящее соединение пользователя предоставлено разрешение удаленного доступа. эта политика создается при установке службы маршрутизации и удаленного доступа. политика по умолчанию имеет следующую конфигурацию:

ограничения дня недели и времени (day-and-time-restrictions) установлены для всех дней недели и времен суток

право удаленного доступа запрещено (deny remote access permission)

все свойства профиля установлены в значения по умолчанию

 

установление соединения с использованием политик

когда пользователь пытается установить соединение, то попытка принимается или отклоняется на основании следующей логики:

1.проверяется первая политика в упорядоченном списке политик. если подходящей политики не существует, то попытка соединения отклоняется.

2. если не все условия политики соответствуют попытке соединения, то осуществляется переход к следующей политике. если политик больше нет, попытка соединения отклоняется.

3. если все условия политики соответствуют попытке соединения, то проверяется разрешение удаленного доступа для пользователя, делающего попытку соединения:

  • если отказано в предоставлении права удаленного доступа, то попытка соединения отклоняется.

  • если предоставлено право удаленного доступа, то применяются свойства пользователя и свойства профиля.

  • если попытка соединения не соответствует параметрам настройки свойств учетной записи пользователя и свойств профиля, то попытка соединения отклоняется.

  • если попытка соединения соответствует параметрам настройки свойств учетной записи пользователя и свойств профиля, то соединение устанавливается.

    llесли право удаленного доступа определяется с помощью политики (control access through remote access policy), то установка разрешения удаленного доступа берется из политики:

  • если в праве удаленного доступа отказано (deny remote access permission), то попытка соединения отклоняется.

  • если право удаленного доступа предоставлено (allow remote access permission), то применяются свойства пользователя и свойства профиля.

    llесли попытка соединения не соответствует параметрам настройки свойств учетной записи пользователя и свойств профиля, то попытка соединения отклоняется.

  • если попытка соединения соответствует параметрам настройки свойств учетной записи пользователя и свойств профиля, то соединение устанавливается.

 

преобразование сетевых адресов (nat)

 

общие понятия

средство nat (network address translation, преобразование (трансляция) сетевых адресов) в windows 2000 позволяет легко подключить домашнюю сеть или сеть малого офиса к интернету. nat состоит из следующих компонентов:

примечание

для компактности изложения в тексте чаще используется аббревиатура - nat. однако в некоторых случаях она обозначает преобразование сетевых адресов (процедуру), а в других - преобразователь сетевых адресов (программный продукт). это не должно приводить к путанице.
компонент преобразования - компьютер (далее называемый компьютер-преобразователь адресов), действующий как транслятор сетевых адресов (nat) и преобразующий ip-адреса и номера портов пакетов tcp и датаграмм udp, которыми обмениваются частная сеть и интернет.

компонент адресации. компьютер-преобразователь адресов предоставляет информацию о конфигурации ip-адреса другим компьютерам домашней сети. компонент адресации - упрощенный dhcp-сервер, который предоставляет ip-адрес, маску подсети, ip-адреса шлюза по умолчанию, dns-сервера и wins-сервера (в качестве последних трех адресов используется ip-адрес компьютера с преобразователем адресов). компьютеры в домашней сети должны быть сконфигурированы как клиенты dhcp, чтобы автоматически получать конфигурацию ip.

компонент разрешения имен. компьютер с преобразователем адресов становится dns-сервером и wins-сервером для других компьютеров в домашней сети. когда компьютер с преобразователем адресов получает запросы о разрешении имен, он пересылает запросы о разрешении имен серверам dns и wins в межсетевой среде, на которые он настроен, и возвращает ответы на компьютер в локальной сети.

примечание

преобразователь адресов разработан специально для подключения к интернету сети малых или домашних офисов. он не предназначен для того, чтобы объединять сети малых или домашних офисов или подсоединять филиалы к общей сети.

 

частные адреса

чтобы устанавливать соединение с ресурсами интернета, необходимо использовать адреса, распределенные центром network information center (информационный центр сети интернет, internic). такие адреса могут получать трафик от служб межсетевой сети и называются public-адресами (public address). типичное малое предприятие или офис подразделения получает public-адрес (или адреса) от интернет-провайдера, который, в свою очередь, получил диапазон public-адресов от internic.

для того чтобы разрешить нескольким компьютерам в сети малого офиса или в домашней сети устанавливать соединение с ресурсами интернета, каждый компьютер должен иметь собственный public-адрес. это требование может привести к нехватке доступных public-адресов.

чтобы сократить потребность в public-адресах, internic предусмотрел схему многократного использования адресов, зарезервировав идентификаторы сетей для частных нужд. частные сети входят в следующие диапазоны (задаются идентификатором и маской):

10.0.0.0 с маской 255.0.0.0

172.16.0.0 с маской 255.240.0.0

192.168.0.0 с маской 255.255.0.0

более подробная информация о диапазонах адресов, зарезервированных для частных интрасетей, приведена в rfc 1597. адреса в этих диапазонах называются частными адресами.

частные адреса не могут получать трафик от компьютеров в межсетевой среде. следовательно, если интрасеть использует частные адреса и устанавливает связь со службами интернета, частный адрес должен транслироваться в public-адрес. nat помещается между интрасетью, которая использует частные адреса, и интернетом, который использует public-адреса. пакеты, исходящие из интрасети, имеют частные адреса, которые nat транслирует в public-адреса. поступающие из интернета пакеты имеют public-адреса, и nat транслирует их в частные адреса.

 

пример nat

если сеть малого предприятия использует идентификатор сети 192.168.0.0 для интрасети и имеется public-адрес a.b.c.d, полученный от интернет-провайдера, то nat отображает все частные адреса в сети 192.168.0.0 в ip-адрес a.b.c.d. если несколько частных адресов отображаются в один public-адрес с использованием nat, tcp- и udp-порты выбираются динамически, чтобы отличить один компьютер внутри интрасети от другого.

на рис. 19.9 показано применение nat для "прозрачного" соединения интрасети с интернетом.

примечание

записи a.b.c.d и e.f.g.h представляют допустимые public-ip-адреса, выданные internic или интернет-провайдером.
рис. 19.9. пример использования nat

если частный пользователь на компьютере с адресом 192.168.0.10 соединяется с веб-сервером по адресу e.f.g.h при помощи веб-браузера, то стек ip пользователя создает ip-пакет со следующей информацией:

ip-адрес получателя: e.f.g.h

ip-адрес отправителя: 192.168.0.10

порт получателя: tcp-порт 80

порт отправителя: tcp-порт 1025

этот ip-пакет затем пересылается nat для преобразования адресов исходящего пакета к следующим:

ip-адрес получателя: e.f.g.h

ip-адрес отправителя: a.b.c.d

порт получателя: tcp-порт 80

порт отправителя: tcp-порт 5000

nat хранит отображение {192.168.0.10, tcp 1025} в {a.b.c:d, tcp 5000} в своей внутренней таблице.

преобразованный таким образом ip-пакет пересылается через интернет. когда ответ получен nat, пакет содержит следующую общую информацию об адресах:

ip-адрес получателя: a.b.c.d

ip-адрес отправителя: e.f.g.h

порт получателя: tcp-порт 5000

порт отправителя: tcp-порт 80

nat проверяет свою адресную таблицу, отображает public-адреса в частные и передает пакет на компьютер по адресу 192.168.0.10. посланный пакет содержит следующую информацию об адресах:

ip-адрес получателя: 192.168.0.10

ip-адрес отправителя: e.f.g.h

порт получателя: tcp-порт 1025

порт отправителя: tcp-порт 80

для пакетов, исходящих из nat, ip-адрес отправителя (частный адрес) отображается в адрес, выданный интернет-провайдером (public-адрес), а номер, порта tcp/udp отображается в другой номер порта tcp/udp.

для пакетов, приходящих nat, ip-адрес получателя (public-адрес) отображается в оригинальный адрес интрасети (частный адрес), а номер порта tcp/udp отображается обратно к оригинальному номеру порта tcp/udp.

примечание

nat правильно транслирует пакеты, содержащие ip-адрес только в ip-заголовке. ip-пакеты, содержащие ip-адрес в теле пакета, не могут правильно транслироваться при помощи nat.

 

редакторы nat

по умолчанию nat транслирует ip-адреса и tcp/udp-порты. если ip-адрес и информация о порте содержатся только в заголовках ip и tcp/udp, то прикладной протокол также будет правильно транслироваться nat!

пример - протокол http (hypertext transfer protocol, протокол передачи гипертекста), используемый в www (world wide web).

однако имеются приложения и протоколы, которые содержат ip-адрес или информацию о порте tcp/udp в теле сообщений, а не в заголовках tcp/udp. пример - протокол ftp, который для команды ftp port передает десятичное представление ip-адреса в теле команды. если nat неправильно транслирует ip-адрес внутри команды ftp, то могут возникнуть проблемы установления соединения.

также имеются протоколы, которые не используют для передачи данных ни tcp, ни udp (большинство протоколов использует для доставки пакетов транспортные протоколы tcp или udp). например, транспортный протокол рртр не использует для доставки данных tcp/udp. вместо заголовков tcp или udp используется специальный заголовок общей инкапсуляции маршрутизации (ore, generic routing encapsulation) и специальное поле tunnel id для идентификации потока данных. если бы nat не транслировал это поле, то передача данных при помощи протокола рртр через nat была бы невозможна.

если компонент nat должен дополнительно транслировать и корректировать не только заголовки ip, tcp и udp, но и служебную информацию в теле пакетов, требуется редактор nat. редактор nat - устанавливаемый компонент, который может корректно изменять не транслируемую иным способом информацию - так, чтобы она могла быть передана через nat. в составе windows 2000 имеются nat-редакторы для протоколов ftp, icmp, рртр. возможно появление nat-редакторов для трансляции протоколов snmp, ldap, microsoft com, rpc.

примечание

трансляция трафика, передаваемого по протоколам ipsec и н.323, невозможна даже при использовании специального редактора nat.

 

проектирование сети с преобразованием адресов

прежде чем реализовать сеть с преобразованием адресов, рассмотрим некоторые аспекты ее построения, описанные в следующих разделах, чтобы избежать проблем.

 

частные сетевые адреса

необходимо использовать ip-адреса, выделенные internic для частных ip-сетей (см. выше). по умолчанию преобразователь адресов для частной сети выбирает адреса из диапазона с идентификатором 192.168.0.0 и маской 255.255.255.0.

если для ip-сети используются public-адреса, которые не были выданы ни internic, ни интернет-провайдером, то может оказаться, что используется идентификатор ip-сети другой организации, имеющей выход в интернет. этот случай называется некорректной или накладывающейся (overlapping) ip-адресацией. накладывающиеся public-адреса исключают возможность достижения межсетевых ресурсов по этим адресам. например, если используется сеть 1.0.0.0 с маской подсети 255.0.0.0, то невозможно достичь ресурсов другой организации, которая также использует сеть 1.0.0.0.

 

один или несколько public-адресов

если используется один public-адрес ip, предоставленный интернет-провайдером, то дополнительная настройка ip-адреса не требуется. если используется несколько ip-адресов, выделенных провайдером, необходимо настроить интерфейс nat на диапазон public-адресов. для диапазона выделенных ip-адресов следует определить, может ли диапазон public-адресов быть выражен при помощи одного ip-адреса и маски подсети.

если был выдан ряд адресов, количество которых является степенью 2 (2, 4, 8, 16 и т. д.), имеется вероятность, что диапазон можно выразить при помощи одного ip-адреса и маски подсети. например если предоставлены четыре public-адреса 200.100.100.212, 200.100.100.213, 200.100.100.214 и 200.100.100.215, предоставленных провайдером, то их можно представить как один адрес 200.100.100.212 с маской подсети 255.255.255.252.

если ip-адреса нельзя выразить в виде ip-адреса и маски подсети, то можно ввести их как диапазон или ряд диапазонов, указывая начальный и конечный ip-адреса.

 

разрешение входящего соединения

обычно nat используется в домашней или малой сети, чтобы разрешить исходящие соединения (из частной сети в общую сеть). приложения типа веббраузеров, работающих в частной сети, создают соединения с ресурсами интернета. обратный трафик из интернета может пересечь nat, поскольку соединение было инициализировано ранее клиентом, находящимся в частной сети.

для разрешения входящего соединения необходимо настроить статическую конфигурацию ip на сервере, на котором расположен ресурс, включая ip-адрес (из диапазона ip-адресов, распределяемых с помощью nat), маску подсети (из диапазона ip-адресов, распределенных nat), шлюз по умолчанию (частный ip-адрес компьютера с nat) и сервер dns (частный ip-адрес компьютера с nat).

затем необходимо исключить ip-адрес, присвоенный компьютеру, на котором расположен ресурс, из диапазона ip-адресов, распределяемых компькь тером с nat.

наконец, на последнем шаге необходимо настроить специальный порт. специальный порт - статическое отображение общего адреса и номера порта в частный адрес и номер порта. специальный порт отображает входящее соединение от пользователя из интернета в специфический адрес в частной сети. это позволяет создавать в частной сети веб-серверы, доступные из интернета.

 

конфигурирование компьютера-преобразователя адресов

чтобы сконфигурировать компьютер-преобразователь адресов, необходимо выполнить следующие действия:

1.сконфигурировать ip-адрес домашнего сетевого интерфейса.

для ip-адреса адаптера lan, соединенного с домашней сетью, необходимо задать следующие значения:

  • ip-адрес: 192.168.0.1

  • маска подсети: 255.255.255.0

  • шлюз по умолчанию - отсутствует

примечание

ip-адрес в данной конфигурации для сетевого интерфейса в домашней сети выбирается из адресного интервала по умолчанию (задается идентификатором сети 192.168.0.0 и маской 255.255.255.0), который задается для компонента адресации преобразователя адресов. если этот адресный интервал по умолчанию изменяется, то необходимо изменить и ip-адрес частного интерфейса компьютера-преобразователя адресов, чтобы он имел, первый ip-адрес в заданном диапазоне. использование первого ip-адреса из диапазона - рекомендуемый подход, а не требование для компонента преобразователя адресов.
2. установить и разрешить службу маршрутизации и удаленного доступа.

3. разрешить маршрутизацию для порта коммутируемого соединения.

если соединение с интернетом - постоянное, которое отображается в windows в качестве интерфейса lan (типа dds, t-carrier, frame relay, постоянного isdn-соединения, adsl или кабельного модема), или если компьютер подключен к другому маршрутизатору под управлением windows до соединения с интернетом, перейти к шагу 5.

4. создать интерфейс с набором номера по запросу для установления соединения с интернет-провайдером.

необходимо создать интерфейс с набором номера по запросу, на котором разрешена ip-маршрутизация и который использует оборудование для коммутируемого соединения и идентифицирующую информацию для установления соединения с интернет-провайдером.

5. создать статический маршрут по умолчанию, который использует интерфейс в интернет.

для статического маршрута по умолчанию получатель - 0.0.0.0, маска подсети - 0.0.0.0. поскольку соединение с интернетом - канал "точка-точка", в поле шлюз (gateway) можно ввести любой ip-адрес. необходимо также указать интерфейс с набором номера по запросу (для коммутируемого соединения) или интерфейс lan (для постоянных или промежуточных соединений) с использованием маршрутизатора для соединения с интернетом.

6. добавить протокол ip-маршрутизации nat.

7. добавить интерфейс соединения с интернетом и локальный интерфейс в протокол маршрутизации nat.

8. включить адресацию и разрешение имен для преобразователя адресов.

примечание

компонент адресации преобразователя адресов назначает адреса только из одного диапазона, соответствующего одной подсети. если к протоколу маршрутизации nat добавлено несколько интерфейсов lan, то подразумевается конфигурация с одной подсетью (где все интерфейсы lan соединены с одной и той же сетью). если интерфейсы lan соответствуют различным сетям, связность между клиентскими компьютерами, которые получают адреса от преобразователя адресов, но находятся в разных сетях, невозможна.

 

конфигурирование других компьютеров в сети малого офиса или в домашней сети

можно настроить протокол tcp/ip на других компьютерах в сети малого офиса или в домашней сети, чтобы они получали ip-адреса автоматически. когда компьютеры в домашней сети получают свой ip-адрес с компьютера, на котором функционирует nat, получаемая ими конфигурация будет следующей:

ip-адрес (из сети с идентификатором 192.168.0.0 и маской 255.255.255.0)

маска подсети (255.255.255.0)

шлюз по умолчанию (ip-адрес интерфейса компьютера-преобразователя адресов, находящегося в сети малого офиса или в домашней сети)

dns-сервер (ip-адрес интерфейса компьютера-преобразователя адресов, находящегося в сети малого офиса или в домашней сети)

wins-сервер (ip-адрес интерфейса компьютера-преобразователя адресов, находящегося в сети малого офиса или в домашней сети)

тип узла netbios - м-узел {запрос имени netbios вначале передается широковещательно, а затем посылается заданному серверу wins)

 

дополнительные установки преобразователя адресов
если интернет-провайдер выдал диапазон ip-адресов, необходимо сконфигурировать диапазон ip-адресов на интерфейсе, подключенном к интернету.

если имеются службы, функционирующие в частной сети, к которым должен быть разрешен доступ для пользователей из интернета, то необходимо добавить специальный порт, отображающий public-адрес и номер порта в частный ip-адрес и номер порта.

 

администрирование nat

 

добавление преобразования сетевых адресов (nat)

для добавления преобразователя сетевых адресов (nat) необходимо в окне оснастки маршрутизация и удаленный доступ в разделе маршрутизация ip (ip routing) щелкнуть правой кнопкой мыши на узле общие (general) и выбрать из появившегося контекстного меню команду новый протокол маршрутизации (new routing protocol).

в диалоговом окне новый протокол маршрутизации в списке протоколы маршрутизации (routing protocols) выбрать узел преобразование сетевых адресов

(nat) (network address translation (nat)) и нажать кнопку ок (рис. 19.10).

рис. 19.10. добавление nat как протокола маршрутизации

 

добавление интерфейса для преобразования адресов

для добавления интерфейса для преобразования адресов необходимо в окне оснастки маршрутизация и удаленный доступ в разделе маршрутизация ip (ip routing) щелкнуть правой кнопкой мыши на узле преобразование сете-

вых адресов (nat) (network address translation (nat)) и из появившегося контекстного меню выбрать команду новый интерфейс (new interface).

далее, выбрать нужный интерфейс и нажать кнопку ок.

рис. 19.11. добавление nat - настройка интерфейса

выполнить одно из следующих действий (рис. 19.11):

если этот интерфейс подключен к интернету, на вкладке общие (general) в окне свойства: имя_интерфейса (properties: имя_интерфейса) соответствующего интерфейса выбрать положение переключателя общий интерфейс подключен к интернету (public interface connected to the internet) и установить флажок преобразовать заголовки tcp/udp (рекомендуется) (translate tcp/udp headers (recommended)).

если этот интерфейс подключен к небольшой офисной сети или к домашней сети, то на вкладке общие в окне свойства соответствующего интерфейса выбрать положение переключателя частный интерфейс подключен к частной сети (private interface connected to private network).

примечание

для коммутируемого подключения к интернету необходимо выбрать интерфейс с установлением соединения по запросу, который настроен на установку соединения с интернет-провайдером.

для постоянного подключения к интернету выбрать интерфейс, постоянно соединенный с провайдером.

преобразование адресов нужно разрешать только на интерфейсах, соединенных с глобальной сетью (интернетом).

 

разрешение адресации

для разрешения адресации следует в окне оснастки маршрутизация и удаленный доступ в разделе маршрутизация ip (ip routing) щелкнуть правой кнопкой мыши на узле преобразование сетевых адресов (nat) и в появившемся контекстном меню выбрать команду свойства.

на вкладке назначение адресов (address assignment) установить флажок автоматически назначать ip-адреса с использованием dhcp (automatically assign ip addresses by using dhcp) (рис. 19.12).

рис. 19.12. настройка адресации

при необходимости ввести информацию в полях ip-адрес (ip address) и маска (mask), чтобы задать диапазон адресов и маску для выделения клиентам dhcp на частной сети. если требуется исключить некоторые адреса из выделения клиентам dhcp, нужно нажать кнопку исключить (exclude) и задать эти адреса.

по окончании настройки нажать кнопку ок.

 

разрешение распознавания имен для преобразования адресов

чтобы разрешить распознавание имен для преобразования адресов в окне оснастки маршрутизация и удаленный доступ, в разделе маршрутизация ip (ip

routing) щелкните правой кнопкой мыши на узле преобразование сетевых адресов (nat) и в появившемся контекстном меню выберите команду свойства.

в появившемся окне на вкладке разрешение имен в адреса (name resolution) (рис. 19.13) выполните одно из следующих действий:

для разрешения имен netbios при помощи сервера wins установите флажок клиентов, использующих службу wins (clients using windows internet name service (wins)) (опция может отсутствовать).

для разрешения имен хостов при помощи сервера dns установите флажок клиентов, использующих службу dns (clients using domain name system (dns)).

рис. 19.13. настройка разрешения имен

если нужно, чтобы соединение с интернетом было установлено, когда компьютер в частной сети посылает запрос на разрешение имени компьютеру с nat, установите флажок подключаться к общей сети, когда требуется разрешение (connect to the public network when a name needs to be resolved), а затем выберите в списке интерфейс вызова по требованию (demand-dial interface) соответствующий интерфейс.

 

конфигурирование диапазонов ip-адресов для преобразования

для конфигурирования диапазонов ip-адресов для преобразования в окне оснастки маршрутизация и удаленный доступ в разделе маршрутизация ip

(ip routing) разверните узел преобразование сетевых адресов (nat), щелкните правой кнопкой мыши на нужном интерфейсе и выберите в появившемся контекстном меню команду свойства.

на вкладке пул адресов (address pool) (рис. 19.14) нажмите кнопку добавить (add) и выполните одно из следующих действий:

если используется диапазон ip-адресов, которые могут быть заданы при помощи ip-адреса и маски подсети, в поле начальный адрес (start address) укажите начальный адрес, а в поле маска (subnet mask) - маску подсети.

если используется диапазон ip-адресов, которые не могут быть заданы при помощи ip-адреса и маски подсети, то в поле начальный адрес укажите начальный адрес, а в поле конечный адрес - конечный ip-адрес.

примечание

если имеется несколько интервалов адресов, можно добавить каждый из них отдельно, нажав кнопку добавить.
рис. 19.14. настройка диапазонов адресов

 

конфигурирование преобразования специальных портов

для конфигурирования преобразования специальных портов в окне оснастки маршрутизация и удаленный доступ в разделе маршрутизация ip выберите узел преобразование сетевых адресов (nat), щелкните правой кнопкой мыши на нужном интерфейсе и в появившемся контекстном меню выберите команду свойства.

на вкладке особые порты (special ports) (рис. 19.15) в поле протокол (protocol) выберите протокол tcp или udp и нажмите кнопку добавить.

в поле входящий порт (incoming port) введите номер внешнего порта.

если диапазон public-адресов сконфигурирован, введите внешний ip-адрес в поле на этом элементе пула адресов (on this address pool entry).

в поле исходящий порт (outgoing port) введите номер внутреннего порта.
в поле адрес в частной сети (private address) введите внутренний адрес.

рис. 19.15. настройка преобразования специальных адресов

 

настройка сетевых приложений

для настройки сетевых приложений в окне оснастки маршрутизация и удаленный доступ в разделе маршрутизация ip щелкните правой кнопкой мыши преобразование сетевых адресов (nat) ив появившемся контекстном

меню выберите команду свойства. на вкладке преобразование (translation) (рис. 19.16) нажмите кнопку приложения (applications).

чтобы добавить сетевое приложение, в диалоговом окне приложения (applications) нажмите кнопку добавить. в диалоговом окне приложение общего доступа к подключению интернета (add application) введите настройки для сетевого приложения и нажмите кнопку ок.

рис. 19.16. настройка сетевых приложений

 

служба факсимильных сообщений

служба факсов (fax service) позволяет посылать и получать факсимильные сообщения без использования дополнительных программ, поскольку все, что для этого нужно, - факс-модем. можно легко передавать по факсу документы при помощи команды печать, которая обычно имеется в текстовых процессорах, электронных табличных процессорах и в приложениях других типов. также можно использовать почтовые программы, чтобы одновременно посылать электронную почту и факсимильные сообщения.

 

использование службы факсов

чтобы послать простое текстовое или графическое сообщение по факсимильной связи, требуются только windows 2000 и факс-модем. необходимо убедиться, что модем поддерживает возможности передачи факсимильных сообщений, а не только стандартные возможности передачи данных. хотя некоторые модемы предоставляют обе возможности, они не взаимозаменяемы. служба факсов может работать с факсимильными устройствами, которые поддерживают передачу сообщений в стандарте class 1 или class 2, например, факс-модемы или факсимильные платы.

чтобы послать по факсу документ, нужно просто выбрать команду печать (print) в том приложении windows, где открыт документ. поскольку служба факсов устанавливает факс-принтер автоматически, при передаче сообщения понадобится добавить только информацию о получателе и заметки в мастере рассылки факсов (send fax wizard) - и факс будет передан.

факс использует многостраничный формат tiff (tagged image file format). можно сканировать отпечатанные изображения и использовать их для передачи по факсу. не требуется преобразовывать существующую графику в формат tiff перед передачей факса - служба факсов делает это автоматически. служба факсов также содержит компонент для предварительного просмотра (imaging preview) полученных и посланных факсимильных сообщений.

для наилучшей работы со службой рекомендуется:

если заранее известно, что факсимильное устройство будет работать в windows 2000, лучше подключить или вставить это устройство в компьютер до установки операционной системы.

если устройство подключается после установки windows 2000, система должна обнаружить факсимильное устройство при запуске и установить службу факсов и факс-принтер. если эти компоненты автоматически не установятся при запуске, нужно запустить мастер оборудования (hardware wizard) для поиска и установки устройства.

примечание

служба факсов в windows 2000 не поддерживает совместное использование (sharing) факс-принтеров.

при наборе номера факс использует информацию о способе набора, установленную в группе параметров параметры телефона и модема на панели управления. в мастере рассылки факсов (send fax wizard) есть функция отмены телефонных установок и набора номера телефона в том виде, в каком они введены. монитор факсов (fax monitor) позволяет просматривать все события, связанные с передачей факсимильных сообщений. можно установить ручной ответ на звонки, можно также использовать эту утилиту для отмены приема или передачи факсов.

рис. 19.17. оснастка управления службой факсов

для управления службой применяется оснастка управление службой факсов

(fax service management, рис. 19.17), которая входит в программную группу стандартные (accessories).

 

возможности службы факсов
передача сообщения на титульном листе

. службу факсов позволяет передавать сообщения на титульном листе факса отдельно от документа. в редакторе титульных страниц факсов (fax cover page editor) можно создать любой титульный лист по желанию пользователя или выбрать один из имеющихся шаблонов титульных листов. мастер рассылки факсов автоматически вносит информацию о получателе и отправителе (рис. 19.18), нужно только ввести примечание и отослать факсимильное сообщение.

передача факсов из программ

служба факсов может работать с текстовыми документами и графическими изображениями. можно отправлять по факсу документы из любого приложения windows, в котором есть команда печать.

передача факсов из почтовых программ

служба факсов работает также с некоторыми версиями microsoft exchange или microsoft outlook. в outlook, например, можно передавать сообщения электронной почты и присоединенные документы получателям факсов. необходимо настроить службу факсов, чтобы она работала с соответствующей учетной записью пользователя в outlook; для этого в программе outlook нужно в настройках профиля пользователя на вкладке службы (services) добавить почтовый транспорт факсов (fax mail transport).

прием факсимильных сообщений

службу можно настроить для автоматического приема факсов (рис 19.19) их сохранения на диске и печати на указанном принтере или автоматической передачи цо электронной почте (рис. 19.20).

рис. 19.18. окно свойств факса
рис. 19.19. настройка факс-модема для приема и/или передачи факсов
рис. 19.20. настройка службы факсов для сохранения принятых сообщений
редактор титульных страниц факсов

каждый пользователь компьютера windows 2000 может при помощи редактора титульных страниц факсов создавать или изменять шаблоны титульного листа. можно также создавать общие титульные листы, чтобы совместно использовать их из нескольких профилей. факс содержит четыре общих шаблона титульных листов. при передаче факса шаблон получает информацию, которая введена на вкладке сведения о пользователе (user information) диалогового окна свойства факса (fax properties), и автоматически добавляет ее к передаваемому титульному листу.

можно использовать существующие титульные листы (файлы с расширением cov). также можно конвертировать титульные листы из службы факсов windows 95 (файлы с расширением сре) для применения со службой факсов windows 2000.

 

телефония

программное обеспечение для поддержки телефонии - api-интерфейс телефонии (telephony api, tapi). tapi обеспечивает функциональные возможности систем клиент-сервер; таким образом, прикладные телефонные программы на клиентском компьютере могут связываться с выделенным компьютером-сервером, который функционирует как шлюз с телефонным

коммутатором. tapi также является основой идя использования в прикладных программах сторонних производителей: для интеграции в эти программы функций телефонии, например, для набора номера, для переадресации звонков, для речевой почты, для идентификации звонящего, для конференц-связи при помощи компьютеров.

ранее невостребованные прикладные программы телефонии применяются все чаще, т. к. разработчики программного обеспечения используют стандартный интерфейс tapi.

в современных телефонных системах внешний звонок, попадая в общую коммутируемую телефонную сеть, направляется на узел коммутации, который переводит этот звонок на магистральную линию. когда звонок достигает офиса, офисная атс (public branch exchange, pbx) направляет этот звонок на соответствующий порт. выходящие звонки следуют тем же маршрутом в обратном направлении. звонки между внутренними пользователями офиса направляются от одного телефона к другому внутри рвх.

обычно для описания аппаратных средств, объединяющих телефонные линии друг с другом, используется термин "коммутатор", а системы, включающие коммутатор и другие периферийные аппаратные средства, напри-. мер, модемы, называют рвх. например, типичная рвх-станция монтируется на стене, имеет модульный блок со слотами для адаптеров, которые легко подключаются и отключаются. один такой адаптер может соединять магистральную линию с рвх, другой подключает несколько линий; часто каждый адаптер является одноплатным компьютером.

такой компьютер может являться специализированным программно-аппаратным комплексом или это может быть компьютер под управлением операционной системы общего назначения, например, windows nt/2000 server. приложения, работающие на этом компьютере обеспечивают возможности вызова, к примеру, конференц-связи, автоматической переадресации, ручного перевода звонка, ожидания, автоматического повторного набора и т. д. (рис. 19.21).

другая реализация рвх - компьютер с адаптерами для: передачи данных, для подключения магистральных линий и расширений. как ив предыдущем случае, возможности вызова реализуются приложениями, работающими на компьютере.

имеются две формы интеграции компьютера и телефонии: с применением технологий классической телефонии и ip-телефонии. классическая телефония использует коммутируемые телефонные сети общего пользования (public switched telephony networks, pstn), что позволяет создавать клиейт-серверные телефонные системы, а ip-телефония позволяет использовать компьютерную конференц-связь по локальным сетям (lan), глобальным сетям (wan) или через интернет.

рис. 19.21. интеграция сред и служб передачи данных
рис. 19.22. службы доступа к телефонии в windows 2000

в состав windows 2000 входит ряд стандартных служб доступа - поставщиков телефонных услуг, реализующих различные функции (рис. 19.22).

 

интеграция компьютерных и телефонных сетей

компьютерная телефония позволяет настольным компьютерам взаимодействовать с аппаратными средствами телефонии, обычно рвх, через механизмы интеграции компьютера и телефонии (computer-telephony integration, cti). большинство рвх реализуют связь с аппаратными средствами cti, которые соединяют рвх с одним или более компьютеров (хотя аппаратные средства связи могут быть факультативными, не поставляемыми в стандартной конфигурации рвх). связь между рвх и компьютерами редко бывает простой, поскольку большинство фирм-производителей реализуют сп по-разному. один производитель применяет для cti алгоритмы собственной разработки для кодировки данных и передачи их по последовательному каналу, другой может кодировать данные в пакетах tcp/ip в сегменте ethernet. he существует стандарта кодирования данных для cti. в результате приложения компьютерной телефонии часто должны понимать специальный язык управления коммутатора, как для каждого принтера, поддерживаемого приложением ms-dos, требуется отдельный драйвер. возможно, предпочтительнее использовать один api (tapi; см. рис. 19.23, на котором приведена архитектура tapi 3.0), через который множество приложений могут вызывать телефонные службы и обеспечивать один транслятор для каждого рвх или другого фрагмента телефонных аппаратных средств. такого рода транслятор называется поставщиком услуг (service provider, sp).

 

поставщик удаленных услуг tapi

в tapi (рис. 19.23) включены отдельные поставщики услуг, включая те, которые позволяют реализовать клиент-серверные возможности, например, microsoft windows remote service provider (поставщик удаленных услуг microsoft windows). поставщик услуг включает следующие компоненты (некоторые из них вызываются из командной строки):

компоненты на стороне сервера

следующие компоненты должны функционировать на сервере tapi:

  • оснастка телефония (telephony). дает возможность управлять телефонными линиями и пользователями. доступна через оснастку управление компьютером (computer management) - узел службы и приложения (services and applications).

  • поставщик услуг телефонии (telephony service provider). поставляется изготовителем телефонного коммутатора. транслирует обобщенные команды, посылаемые службой tapi, в специальные команды коммутатора.

рис. 19.23. архитектура tapi 3.0 в windows 2000
  • служба т api (tap! service). связывается с удаленным поставщиком услуг, работающим на стороне клиента. также связывается с приложениями тар!, работающими на сервере (например, с приложением-диспетчером клиентов).
компоненты на стороне клиента

следующие компоненты должны функционировать на клиентском компьютере:

  • служба тар! (tapi service). связывается с приложениями tapi и предназначена для обеспечения связи между этими приложениями и поставщиком удаленных услуг tapi.
  • поставщик удаленных услуг tapi (remote service provider tapi). dll-библиотека на стороне клиента, которая связывается по сети со службой tapi, работающей на сервере tapi.

заметьте, что эти компоненты не включают клиентские приложения телефонии. некоторые из универсальных приложений microsoft могут использовать tapi, но специализированные приложения, например, управляющие центрами коммутации вызовов, поставляются независимыми поставщиками программного обеспечения (independent software vendors, isv).

 

ip-телефония

в организациях обычно поддерживаются раздельные сети для передачи голоса, данных и видеоинформации. поскольку все сети имеют различные транспортные требования и физически независимы, их установка, поддержка и реорганизация обходятся дорого.

ip-телефония объединяет сети передачи голоса, видео и данных, используя общий транспорт ip для каждого из потоков, по-настоящему собирая отдельные сети в единую технологию.

клиенты ip-телефонии используют телефон, подключенный к адаптеру pstn, либо существующие аппаратные средства мультимедиа. ip-телефония поддерживает телефонную, звуковую и видеоконференц-связь, голосовую и видеопочту, а также службы видео по требованию (video on-demand).

 

поставщики услуг ip-телефонии

tapi поддерживает стандарт н.323 и стандарт групповой конференц-связи ip при помощи соответствующих служб microsoft windows 2000.

н.323 - всеобъемлющий стандарт itu для передачи мультимедиа (голоса, видео и данных) по сетям без установления логического соединения, например, по сетям ip и интернет, которые не обеспечивают гарантированное качество обслуживания (qos). стандарт описывает управление вызовом, мультимедиа и шириной полосы пропускания для двухточечных и многоточечных конференций. н.323 поддерживает стандартные звуковые и видеокодеры и декодеры и обеспечивает поддержку совместного использования данных по стандарту т. 120. н.323 - стандарт, не зависящий от сети, платформы и прикладного уровня, что позволяет любому терминалу, соответствующему н.323, взаимодействовать с любым другим терминалом.

в н.323 сетевой адрес пользователя (в данном случае, ip-адрес пользователя) может изменяться и не может считаться неизменным в течение сеанса. поставщик услуг microsoft tapi "н.323 использует службу active directory для того, чтобы производить преобразование (разрешение) адресов. специально для этого информация об отображении адреса и имени пользователя хранится и непрерывно обновляется в службе локатора интернета (internet locator service, ils), являющейся компонентом active directory.

 

групповая конференц-связь по ip

поставщик услуг групповой конференц-связи ip (ip multicast conferencing service provider) - расширение для ip, позволяющее осуществлять эффективную групповую связь группы по lan. при наличии группового ip-протокола пользователи посылают только одну копию данных группе ip-адресов для достижения всех получателей, которые хотят получить данные, с использованием самых коротких деревьев для определения пути. без использования многоадресного вещания те же самые данные нужно было бы передавать по сети несколько раз, по одной копии для каждого получателя, или передать широковещательно каждому пользователю в сети, что заняло бы полосу пропускания и время на обработку и передачу данных.

tapi 3.0 использует стандартный протокол описания сеансов (session description protocol, sdp), разработанный консорциумом ietf для того, чтобы объявлять групповые конференции ip no lan. описатели sdp хранятся в windows 2000 active directory - в службе локатора интернета (ils).