鸿 网 互 联 www.68idc.cn

远程访问服务器的高级设置(1)

来源:互联网 作者:佚名 时间:2015-06-10 04:01
根据向导能够快速地配置访问服务器 但是 远程访问服务器是一项复杂的网络配置 在实际应用中 向导配置往往不能满足我们的需要 这就需要进一步配置 可在快速配置的基础上进行配置 也可直接进行手工配置 出现[公共设置]对话框 选择[手动配置服务器] 配置远程访

  
  根据向导能够快速地配置访问服务器但是远程访问服务器是一项复杂的网络配置在实际应用中向导配置往往不能满足我们的需要这就需要进一步配置可在快速配置的基础上进行配置也可直接进行手工配置出现[公共设置]对话框选择[手动配置服务器]
  
   配置远程访问端口 
  
   了解设备和端口
  
  Windows远程访问服务器将安装的网络设备看成一系列的设备和端口设备代表可以创建的点对点物理(或逻辑)连接的硬件(或软件)设备可以是物理的例如调制解调器也可以是虚拟的例如虚拟专用网络(VP旧协议端口是通信信道它可以支持单个点对点连接设备可以支持单个端口例如一个调制解调器也可支持多个端口例如一个调制解调器池可以支持个不同的模拟电话呼叫
  
  对于单端口设备(例如调制解调器)设备和端口是不能区分的对于多端口设备端口是设备的一个部分通过它可以进行一个单独的点对点的通信例如ISDN适配器支持两个称为B信道的独立信道ISDN适配器是设备每个B信道都是端口因为单个的点对点连接可在每个B信道上进行
  
  配置远程访问端口
  
  可以通过设置远程访问端口来进一步限制端口的访问
  
  ()打开[路由和远程访问]控制台
  
  ()展开目录树中单击[端口]如图所示右侧窗格中将显示现有的端口列表其中列出了每个端口对应的设备以及当前状态
  
  
 

  
  ()用鼠标右键单击[端口]从快捷菜单中选择[属性)出现如图所示的[端口属性]对话框显示现有设备列表
  
  
 

  
  ()从中选择拨号设备然后单击[配置]按钮
  
  ()出现如图所示的对话框要启用远程访问可选中[远程访问连接(仅入站)]复选框这样该设备可接受远程用户的拨入要启用请求拨号路由可选中[请求拨号路由选择连接(入站和出站)]复选框这样该设备可用于建立路由连接
  
  
 

  
  ()可根据需要在[此设备的电话号码]输入框中输入端口的电话号码
   
  这里的端口电话号码只有在特殊情况下才需设置当启用了BAP的远程客户机要请求另一个连接时远程访问服务器要回送一条消息该消息包含的新连接的电话号码即是这里的端口电话号码另外远程访问策略的CalledStationld属性指的也是端口电话号码当使用仅限制拨入到此号码这一远程访问策略配置文件的拨入限制并且电话线和已安装的电话设备不支持呼叫的线路标识(CLID)也会在端口上设置电话号码
  
  ()设置完毕单击[确定]按钮
  
   启用远程访问服务器
  
  打开[路由和远程访问服务]控制台在目录树中选择相应的服务器单击鼠标右键从弹出的快捷菜单中选择[属性]打开属性设置对话框切换到[常规]选项卡确认选中[远程访问服务器]复选框这样该服务器就提供远程访问服务功能
  
   设置身份验证和记账功能
  
  身份验证是远程访问安全的重要措施远程访问服务器使用验证协议来核实远程用户的身份Windows支持用于本地的Windows身份验证和用于远程集中验证的RADIUS验证也支持无身份验证的访问
  
  当启用Windows作为记账提供程序时Windows远程访问服务器也支持本地记录远程访问连接的身份验证和记账信息即日志记录
    
  身份验证(Authentication)和授权(Authoring)是两个不同的概念身份验证是对试图建立连接的用户的身份凭证进行验证在验证的过程中用户使用特定的身份验证协议将身份凭证从客户端发送到服务器端由服务器进行核对而授权用于确定用户是否有访问某种资源的权限只有身份验证通过后才能进行授权以决定是否允许该用户建立连接如果使用Windows身份验证服务器使用Windows的安全特性来验证用户身份用户账户的拨入属性和远程访问政策用于授权建立连接
  
  选择身份验证和记账提供程序
  
  打开[路由和远程访问服务]控制台在目录树中选择相应的服务器单击鼠标右键从弹出的快捷菜单中选择[属性]打开属性设置对话框切换到[安全]选项卡如图所示选择身份验证和计账提供程序
  
  
 

   
  验证提供程序;设置是由Windows身份验证还是RADIUS服务器来验证客户机的账号名称和密码除非建立了RADIUS服务器否则采用默认的[Wundows身份验证]由远程访问服务器本身来处理
   
  记账提供程序:设置连接记录日志保存的地方选择默认的[Windows记账]记录保存在远程访问服务器上;选择[RADIUS记账]则记录保存在RADIUS服务器上;还可选择[<无>]不保存连接记录日志
  
  设置身份验证方法
  
  这里以Windows身份验证为例进一步设置相应的验证方法单击[身份验证方法]打开如图所示的对话框身份验证方法一般使用在连接建立过程中用于协商的一种身份验证协议各种身份验证方法比较见表
  
  
 

  
  关于身份验证方法再补充说明几点
  
  可以同时选中多种验证方法应尽可能禁用安全级别低的验证方法以提高安全性在选择身份验证方法的时候要注意服务器端和客户端都要支持
  
  PAPSPAPCHAPMSCHAP和MSCHAP V都是标准身份验证协议EAP是扩展的身份验证协议可以自定义验证方法
  
  如果使用MSCHAP作为身份验证协议则可以使用Microsoft点对点加密协议(MPPE)来加密在PPP或PPTP连接上发送的数据
  
  EAP允许将新的身份验证方法用于远程访问对基于智能卡的安全部署尤其重要允许其他身份验证模块插入Windows远程访问PPP实现的接口Windows支持EAPMD CHAPEAPTLS(用于智能卡和基于证书的身份验证)以及EAPRADIUS(将EAP消息传送到RADIUS服务器)
  
  如果要使用智能卡作为远程身份验证则必须使用EAPTLS身份验证方法EAPTLS消息交换在远程访问客户机和身份验证者之间提供了交互的身份验证协商加密方法以及安全私匙交换EAPTLS提供了功能最强大的身份验证和密匙交换方法使用带智能卡的EAPTLS是目前最强大的身份验证方法
  
  当远程访问客户机所配置的身份验证协议与远程访问服务器上配置的身份验证协议不匹配时Windows远程访问客户机会出现无身份验证的访问
   
  在默认情况下Windows MSCHAP v支持LAN Manager身份验证如果要禁止将使用MSCHAP v的LAN Manager身份验证用于早期的Microsoft操作系统(如WindowsNTx和Windows)就必须在身份验证服务器上将以下注册表值设置为
  
  HKEV_OCAL_MACHINE\System\CurrentControlSet\Services\RemoteAccess\Policy\Allow LW Authentication
  
  

网友评论
<