根据向导能够快速地配置访问服务器 但是 远程访问服务器是一项复杂的网络配置 在实际应用中 向导配置往往不能满足我们的需要 这就需要进一步配置 可在快速配置的基础上进行配置 也可直接进行手工配置 出现[公共设置]对话框 选择[手动配置服务器] 配置远程访
根据向导能够快速地配置访问服务器
但是
远程访问服务器是一项复杂的网络配置
在实际应用中
向导配置往往不能满足我们的需要
这就需要进一步配置
可在快速配置的基础上进行配置
也可直接进行手工配置
出现[公共设置]对话框
选择[手动配置服务器]
配置远程访问端口
了解设备和端口
Windows
远程访问服务器将安装的网络设备看成一系列的设备和端口
设备代表可以创建的点对点物理(或逻辑)连接的硬件(或软件)
设备可以是物理的
例如调制解调器
也可以是虚拟的
例如虚拟专用网络(VP旧协议
端口是通信信道
它可以支持单个点对点连接
设备可以支持单个端口
例如一个调制解调器
也可支持多个端口
例如一个调制解调器池可以支持
个不同的模拟电话呼叫
对于单端口设备(例如调制解调器)
设备和端口是不能区分的
对于多端口设备
端口是设备的一个部分
通过它可以进行一个单独的点对点的通信
例如
ISDN适配器支持两个称为B信道的独立信道
ISDN适配器是设备
每个B信道都是端口
因为单个的点对点连接可在每个B信道上进行
配置远程访问端口
可以通过设置远程访问端口
来进一步限制端口的访问
(
)打开[路由和远程访问]控制台
(
)展开目录树中
单击[端口]
如图
所示
右侧窗格中将显示现有的端口列表
其中列出了每个端口对应的设备以及当前状态
(
)用鼠标右键单击[端口]
从快捷菜单中选择[属性)
出现如图
所示的[端口属性]对话框
显示现有设备列表
(
)从中选择拨号设备
然后单击[配置]按钮
(
)出现如图
所示的对话框
要启用远程访问
可选中[远程访问连接(仅入站)]复选框
这样该设备可接受远程用户的拨入
要启用请求拨号路由
可选中[请求拨号路由选择连接(入站和出站)]复选框
这样该设备可用于建立路由连接
(
)可根据需要在[此设备的电话号码]输入框中
输入端口的电话号码
这里的端口电话号码只有在特殊情况下才需设置
当启用了BAP的远程客户机要请求另一个连接时
远程访问服务器要回送一条消息
该消息包含的新连接的电话号码即是这里的端口电话号码
另外
远程访问策略的
Called
Station
ld
属性指的也是端口电话号码
当使用
仅限制拨入到此号码
这一远程访问策略配置文件的拨入限制
并且电话线和已安装的电话设备不支持
呼叫的线路标识(CLID)
时
也会在端口上设置电话号码
(
)设置完毕
单击[确定]按钮
启用远程访问服务器
打开[路由和远程访问服务]控制台
在目录树中选择相应的服务器
单击鼠标右键
从弹出的快捷菜单中选择[属性]打开属性设置对话框
切换到[常规]选项卡
确认选中[远程访问服务器]复选框
这样该服务器就提供远程访问服务功能
设置身份验证和记账功能
身份验证是远程访问安全的重要措施
远程访问服务器使用验证协议来核实远程用户的身份
Windows
支持用于本地的Windows身份验证和用于远程集中验证的RADIUS验证
也支持无身份验证的访问
当启用Windows作为记账提供程序时
Windows
远程访问服务器也支持本地记录远程访问连接的身份验证和记账信息
即日志记录
身份验证(Authentication)和授权(Authoring)是两个不同的概念
身份验证是对试图建立连接的用户的身份凭证进行验证
在验证的过程中
用户使用特定的身份验证协议将身份凭证从客户端发送到服务器端
由服务器进行核对
而授权用于确定用户是否有访问某种资源的权限
只有身份验证通过后
才能进行授权
以决定是否允许该用户建立连接
如果使用Windows身份验证
服务器使用Windows
的安全特性来验证用户身份
用户账户的拨入属性和远程访问政策用于授权建立连接
选择身份验证和记账提供程序
打开[路由和远程访问服务]控制台
在目录树中选择相应的服务器
单击鼠标右键
从弹出的快捷菜单中选择[属性]
打开属性设置对话框
切换到[安全]选项卡
如图
所示
选择身份验证和计账提供程序
验证提供程序;设置是由Windows身份验证还是RADIUS服务器来验证客户机的账号名称和密码
除非建立了RADIUS服务器
否则采用默认的[Wundows身份验证]
由远程访问服务器本身来处理
记账提供程序:设置连接记录日志保存的地方
选择默认的[Windows记账]
记录保存在远程访问服务器上;选择[RADIUS记账]
则记录保存在RADIUS服务器上;还可选择[<无>]
不保存连接记录日志
设置身份验证方法
这里以Windows身份验证为例
进一步设置相应的验证方法
单击[身份验证方法]
打开如图
所示的对话框
身份验证方法一般使用在连接建立过程中用于协商的一种身份验证协议
各种身份验证方法比较见表
关于身份验证方法
再补充说明几点
可以同时选中多种验证方法
应尽可能禁用安全级别低的验证方法
以提高安全性
在选择身份验证方法的时候
要注意服务器端和客户端都要支持
PAP
SPAP
CHAP
MS
CHAP和MS
CHAP V
都是标准身份验证协议
EAP是扩展的身份验证协议
可以自定义验证方法
如果使用MS
CHAP作为身份验证协议
则可以使用Microsoft点对点加密协议(MPPE)来加密在PPP或PPTP连接上发送的数据
EAP允许将新的身份验证方法用于远程访问
对基于智能卡的安全部署尤其重要
允许其他身份验证模块插入Windows
远程访问PPP实现的接口
Windows
支持EAP
MD
CHAP
EAP
TLS(用于智能卡和基于证书的身份验证)
以及EAP
RADIUS(将EAP消息传送到RADIUS服务器)
如果要使用智能卡作为远程身份验证
则必须使用EAP
TLS身份验证方法
EAP
TLS消息交换
在远程访问客户机和身份验证者之间
提供了交互的身份验证
协商加密方法以及安全私匙交换
EAP
TLS提供了功能最强大的身份验证和密匙交换方法
使用带智能卡的EAP
TLS是目前最强大的身份验证方法
当远程访问客户机所配置的身份验证协议与远程访问服务器上配置的身份验证协议不匹配时
Windows
远程访问客户机会出现无身份验证的访问
在默认情况下
Windows
MS
CHAP v
支持LAN Manager身份验证
如果要禁止将使用MS
CHAP v
的LAN Manager身份验证用于早期的Microsoft操作系统(如WindowsNT
x和Windows
)
就必须在身份验证服务器上将以下注册表值设置为
HKEV_OCAL_MACHINE\System\CurrentControlSet\Services\RemoteAccess\Policy\Allow LW Authentication
