Администрирование NAT
Администрирование NAT
Добавление преобразования сетевых адресов (NAT)
Для добавления преобразователя сетевых адресов (NAT) необходимо в окне оснастки Маршрутизация и удаленный доступ в разделе Маршрутизация IP (IP Routing) щелкнуть правой кнопкой мыши на узле Общие (General) и выбрать из появившегося контекстного меню команду Новый протокол маршрутизации (New Routing Protocol).
В диалоговом окне Новый протокол маршрутизации в списке Протоколы маршрутизации (Routing protocols) выбрать узел Преобразование сетевых адресов (NAT) (Network Address Translation (NAT)) и нажать кнопку ОК (Рисунок 19.10).
ARAP
ARAP
Клиенты Apple Macintosh могут подключаться к серверу удаленного доступа Windows 2005 при помощи протоколов ARAP (AppleTalk Remote Access Protocol, протокол удаленного доступа AppleTalk) и AppleTalk. Когда удаленный доступ разрешен для гостевой учетной записи ARAP-клиента, сервер будет опрашивать подключающихся пользователей, действительно ли они хотят входить в систему в качестве гостя. Если разрешен доступ без проверки подлинности, пользователи удаленного доступа могут устанавливать соединения без передачи идентификационной информации. Чтобы запретить такой доступ для всех учетных записей, кроме гостевой записи пользователей AppleTalk, нужно создать политику удаленного доступа для пользователей AppleTalk и установить атрибут Framed-Protocol равным AppleTalk Remote Access Protocol (ARAP).
Архитектура TAPI 3 0 в Windows XP
| Компоненты на стороне клиента
Следующие компоненты должны функционировать на клиентском компьютере: Служба ТАР! (TAPI Service). Связывается с приложениями TAPI и предназначена для обеспечения связи между этими приложениями и поставщиком удаленных услуг TAPI. Поставщик удаленных услуг TAPI (Remote Service Provider TAPI). DLL-библиотека на стороне клиента, которая связывается по сети со службой TAPI, работающей на сервере TAPI. |
Базовые понятия
Базовые понятия
На сервере удаленного доступа под управлением Windows XP установленное сетевое оборудование отображается в виде ряда устройств и портов.
Устройство — аппаратура или программное обеспечение, которое предоставляет службе удаленного доступа порты для установки соединений "точка-точка". Устройства бывают физические, например модем, или виртуальные, например VPN-соединение. Устройства могут поддерживать один порт, например модем, или несколько портов, например банк модемов, который может предоставить 64 независимых входящих аналоговых коммутируемых соединений. Протоколы РРТР или L2TP — примеры виртуальных многопортовых устройств. Каждый из этих туннельных протоколов поддерживает несколько одновременных VPN-соединений.
Порт - отдельный Канал устройства, который может поддерживать одно соединение "точка-точка". Для однопортовых устройств типа модемов "устройство" и "порт" не различаются. Для многопортовых устройств порт — часть устройства, при помощи которого может быть установлено отдельное соединение "точка-точка". Например, адаптер ISDN имеет два В-канала: адаптер ISDN — устройство; каждый В-канал — порт, поскольку соединение "точка-точка" может быть установлено раздельно по каждому В-каналу.
Виртуальное частное соединение, иначе называемое VPN-соединением (Virtual Private Network Connection, соединение виртуальной частной сети) эмулирует соединение "точка-точка". Для эмуляции прямого соединения данные инкапсулируются специальным способом, т. е. снабжаются специальным заголовком, который предоставляет информацию о маршрутизации, чтобы пакет мог достигнуть адресата. Получателем пакета является VPN-клиент, либо VPN-сервер. Часть пути, по которому данные следуют в инкапсулированном виде, называется туннелем.
Для организации безопасной виртуальной частной сети перед инкапсуляцией данные шифруются. Перехваченные по пути следования пакеты невозможно прочитать без ключей шифрования. Участок VPN-соединения, на котором данные передаются в зашифрованном виде, и называется, собственно, виртуальной частной сетью.
VPN-соединения создаются, управляются и уничтожаются с использованием специальных туннельных протоколов или протоколов туннелирования. VPN-клиент и VPN-сервер должны поддерживать один и тот же протокол туннелирования, чтобы создать VPN-соединение. Сервер удаленного доступа под управлением Windows XP — VPN-сервер, работающий по протоколам РРТР и L2TP.
Блокировка учетной записи
Блокировка учетной записи
Блокировка учетной записи (Account Lockout) — еще одна отличительная особенность безопасности, которая отменяет разрешение удаленного доступа для учетной записи пользователя после заданного числа неудавшихся попыток проверки подлинности.
Можно использовать блокировку учетной записи, чтобы определить, сколько раз происходил сбой проверки подлинности удаленного доступа до того момента, как разрешение удаленного доступа для учетной записи пользователя будет отменено. Блокировка учетной записи особенно важна для удаленного доступа по VPN-соединению через Интернет. Сторонние пользователи злоумышленники из Интернета могут пытаться получить доступ к интрасети, посылая идентификационную информацию (настоящее имя пользователя и предполагаемый пароль) в течение процесса проверки подлинности VPN-соединения. При атаке с применением словаря пользователь-злоумышленник посылает сотни, даже тысячи пар "имя-пароль" по списку, основанному на общих словах, именах или фразах.
Если разрешить блокировку учетной записи, атака по словарю будет остановлена после заданного числа неудавшихся попыток. Сетевой администратор должен настроить две переменные, управляющие блокировкой учетной записи при удаленном доступе:
| Число неудавшихся попыток до отмены разрешения удаленного доступа для учетной записи пользователя. | |
| Частоту обнуления счетчика неудавшихся попыток (нужно периодически сбрасывать счетчик неудавшихся попыток, чтобы предотвратить длительную блокировку учетной записи из-за ошибок пользователя при наборе пароля). |
Чтобы разрешить возможность блокировки учетной записи, нужно изменить параметры в системном реестре Windows XP.
| Предупреждение |
|
| Некорректное редактирование системного реестра может нарушить работоспособность системы. Перед изменением системного реестра нужно сделать его резервную копию. |
Чтобы разрешить блокировку учетных записей, необходимо установить значение параметра MaxDenials больше или равным 1. По умолчанию MaxDenials=0 (блокировка учетной записи запрещена). Параметр MaxDenials — максимальное число неудачных попыток, произошедших до блокировки учетной записи:
HKEY_LOCAL_MACHINE\SYSTEM\CurremControlSet\Services \RemoteAccess\Parameters\AccountLockout\MaxDenials
Чтобы изменить временной интервал до сброса счетчика неудачных попыток, необходимо установить значение параметра ResetTime равным заданному числу минут:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \RemoteAccess\Parameters\AccountLockout\ResetTime
По умолчанию ResetTime = ОхЬ40 (2,880 мин или 48 ч).
Caller ID
Caller ID
При настройке защиты удаленного доступа на использование Caller ID (идентификатор звонящего абонента) задается телефонный номер, с которого пользователь должен осуществлять связь. Если пользователь производит попытку соединения с другого номера, сервер удаленного доступа отклоняет ее.
| Предупреждение |
|
| Caller ID должен поддерживаться вызывающей стороной, телефонной сетью между вызывающей стороной и сервером удаленного доступа, а также сервером удаленного доступа. Поддержка Caller ID на стороне сервера удаленного доступа состоит из оборудования, отвечающего на вызов. Это оборудование должно поддерживать передачу Caller ID соответствующему встроенному драйверу Windows XP, который, в свою очередь, поддерживает передачу Caller ID вызывающей стороны службе маршрутизации и удаленного доступа. Если поддержка Caller ID разрешена, но какая-то часть оборудования или программного обеспечения не поддерживает Caller ID, то устанавливающему соединение пользователю будет отказано в доступе. Особенности применения Caller ID обеспечивают большую степень безопасности для организации труда надомных работников (telecommuters). Недостаток Caller ID заключается в том, что пользователь может получить удаленный доступ только с конкретной телефонной линии. Кроме того, надо учесть, что функция Caller ID в России недоступна на большинстве телефонных станций, кроме современных цифровых станций, устанавливаемых взамен старых, или коммерческих провайдеров телефонных услуг. |
CHAP
CHAP
Протокол проверки подлинности CHAP — протокол проверки подлинности типа "запрос-ответ", использующий схему хэширования MD-5 (Message Digest, дайджест сообщения) для шифрования ответа. CHAP используется различными производителями ПО серверов и клиентов удаленного доступа. Сервер удаленного доступа Windows XP поддерживает CHAP для проверки подлинности клиентов удаленного доступа сторонних поставщиков.
Частные адреса
Частные адреса
Чтобы устанавливать соединение с ресурсами Интернета, необходимо использовать адреса, распределенные центром Network Information Center (Информационный центр сети Интернет, InterNIC). Такие адреса могут получать трафик от служб межсетевой сети и называются public-адресами (public address). Типичное малое предприятие или офис подразделения получает public-адрес (или адреса) от Интернет-провайдера, который, в свою очередь, получил диапазон public-адресов от InterNIC.
Для того чтобы разрешить нескольким компьютерам в сети малого офиса или в домашней сети устанавливать соединение с ресурсами Интернета, каждый компьютер должен иметь собственный public-адрес. Это требование может привести к нехватке доступных public-адресов.
Чтобы сократить потребность в public-адресах, InterNIC предусмотрел схему многократного использования адресов, зарезервировав идентификаторы сетей для частных нужд. Частные сети входят в следующие диапазоны (задаются идентификатором и маской):
| 10.0.0.0 с маской 255.0.0.0 | |
| 172.16.0.0 с маской 255.240.0.0 | |
| 192.168.0.0 с маской 255.255.0.0 |
Более подробная информация о диапазонах адресов, зарезервированных для частных интрасетей, приведена в RFC 1597. Адреса в этих диапазонах называются частными адресами.
Частные адреса не могут получать трафик от компьютеров в межсетевой среде. Следовательно, если интрасеть использует частные адреса и устанавливает связь со службами Интернета, частный адрес должен транслироваться в public-адрес. NAT помещается между интрасетью, которая использует частные адреса, и Интернетом, который использует public-адреса. Пакеты, исходящие из интрасети, имеют частные адреса, которые NAT транслирует в public-адреса. Поступающие из Интернета пакеты имеют public-адреса, и NAT транслирует их в частные адреса.
Частные сетевые адреса
Частные сетевые адреса
Необходимо использовать IP-адреса, выделенные InterNIC для частных IP-сетей (см. выше). По умолчанию преобразователь адресов для частной сети выбирает адреса из диапазона с идентификатором 192.168.0.0 и маской 255.255.255.0.
Если для IP-сети используются public-адреса, которые не были выданы ни InterNIC, ни Интернет-провайдером, то может оказаться, что используется идентификатор IP-сети другой организации, имеющей выход в Интернет. Этот случай называется некорректной или накладывающейся (overlapping) IP-адресацией. Накладывающиеся public-адреса исключают возможность достижения межсетевых ресурсов по этим адресам. Например, если используется сеть 1.0.0.0 с маской подсети 255.0.0.0, то невозможно достичь ресурсов другой организации, которая также использует сеть 1.0.0.0.
Добавление интерфейса для преобразования адресов
Добавление интерфейса для преобразования адресов
Для добавления интерфейса для преобразования адресов необходимо в окне оснастки Маршрутизация и удаленный доступ в разделе Маршрутизация IP (IP Routing) щелкнуть правой кнопкой мыши на узле Преобразование сетевых адресов (NAT) (Network Address Translation (NAT)) и из появившегося контекстного меню выбрать команду Новый интерфейс (New Interface).
Далее, выбрать нужный интерфейс и нажать кнопку ОК.
Дополнительные установки преобразователя адресов
Дополнительные установки преобразователя адресов
| Если Интернет-провайдер выдал диапазон IP-адресов, необходимо сконфигурировать диапазон IP-адресов на интерфейсе, подключенном к Интернету. |
Групповая конференцсвязь по IP
Групповая конференц-связь по IP
Поставщик услуг групповой конференц-связи IP (IP Multicast Conferencing Service Provider) — расширение для IP, позволяющее осуществлять эффективную групповую связь группы по LAN. При наличии группового IP-протокола пользователи посылают только одну копию данных группе IP-адресов для достижения всех получателей, которые хотят получить данные, с использованием самых коротких деревьев для определения пути. Без использования многоадресного вещания те же самые данные нужно было бы передавать по сети несколько раз, по одной копии для каждого получателя, или передать широковещательно каждому пользователю в сети, что заняло бы полосу пропускания и время на обработку и передачу данных.
TAPI 3.0 использует стандартный Протокол описания сеансов (Session Description Protocol, SDP), разработанный консорциумом IETF для того, чтобы объявлять групповые конференции IP no LAN. Описатели SDP хранятся в Windows XP Active Directory — в службе локатора Интернета (ILS).
Хосты безопасности
Хосты безопасности
Хост безопасности — устройство проверки подлинности сторонних производителей, которое проверяет, имеет ли вызывающий клиент удаленного доступа разрешение на соединение с сервером удаленного доступа. Эта проверка дополняет систему безопасности, предоставляемую сервером удаленного доступа под управлением Windows XP.
Хост безопасности располагается между клиентом и сервером удаленного доступа. Хост безопасности предоставляет дополнительный уровень безопасности, требуя наличие некоторого аппаратного ключа для проверки подлинности. Проверка того, что клиент удаленного доступа владеет ключом, производится до подключения к серверу удаленного доступа. Эта открытая архитектура позволяет заказчикам выбирать из ряда хостов безопасности разных провайдеров для увеличения безопасности удаленного доступа.
Интеграция компьютерных и телефонных сетей
Интеграция компьютерных и телефонных сетей
Компьютерная телефония позволяет настольным компьютерам взаимодействовать с аппаратными средствами телефонии, обычно РВХ, через механизмы интеграции компьютера и телефонии (Computer-Telephony Integration, CTI). Большинство РВХ реализуют связь с аппаратными средствами CTI, которые соединяют РВХ с одним или более компьютеров (хотя аппаратные средства связи могут быть факультативными, не поставляемыми в стандартной конфигурации РВХ). Связь между РВХ и компьютерами редко бывает простой, поскольку большинство фирм-производителей реализуют СП по-разному. Один производитель применяет для CTI алгоритмы собственной разработки для кодировки данных и передачи их по последовательному каналу, другой может кодировать данные в пакетах TCP/IP в сегменте Ethernet. He существует стандарта кодирования данных для CTI. В результате приложения компьютерной телефонии часто должны понимать специальный язык управления коммутатора, как для каждого принтера, поддерживаемого приложением MS-DOS, требуется отдельный драйвер. Возможно, предпочтительнее использовать один API (TAPI; см. Рисунок 19.23, на котором приведена архитектура TAPI 3.0), через который множество приложений могут вызывать телефонные службы и обеспечивать один транслятор для каждого РВХ или другого фрагмента телефонных аппаратных средств. Такого рода транслятор называется поставщиком услуг (Service Provider, SP).
IPтелефония
IP-телефония
В организациях обычно поддерживаются раздельные сети для передачи голоса, данных и видеоинформации. Поскольку все сети имеют различные транспортные требования и физически независимы, их установка, поддержка и реорганизация обходятся дорого.
IP-телефония объединяет сети передачи голоса, видео и данных, используя общий транспорт IP для каждого из потоков, по-настоящему собирая отдельные сети в единую технологию.
Клиенты IP-телефонии используют телефон, подключенный к адаптеру PSTN, либо существующие аппаратные средства мультимедиа. IP-телефония поддерживает телефонную, звуковую и видеоконференц-связь, голосовую и видеопочту, а также службы видео по требованию (video on-demand).
Использование службы факсов
Использование службы факсов
Чтобы послать простое текстовое или графическое сообщение по факсимильной связи, требуются только Windows XP и факс-модем. Необходимо убедиться, что модем поддерживает возможности передачи факсимильных сообщений, а не только стандартные возможности передачи данных. Хотя некоторые модемы предоставляют обе возможности, они не взаимозаменяемы. Служба факсов может работать с факсимильными устройствами, которые поддерживают передачу сообщений в стандарте Class 1 или Class 2, например, факс-модемы или факсимильные платы.
Чтобы послать по факсу документ, нужно просто выбрать команду Печать (Print) в том приложении Windows, где открыт документ. Поскольку служба факсов устанавливает факс-принтер автоматически, при передаче сообщения понадобится добавить только информацию о получателе и заметки в Мастере рассылки факсов (Send Fax Wizard) — и факс будет передан.
Факс использует многостраничный формат TIFF (Tagged Image File Format). Можно сканировать отпечатанные изображения и использовать их для передачи по факсу. Не требуется преобразовывать существующую графику в формат TIFF перед передачей факса — служба факсов делает это автоматически. Служба факсов также содержит компонент для предварительного просмотра (Imaging Preview) полученных и посланных факсимильных сообщений.
Для наилучшей работы со службой рекомендуется:
Если заранее известно, что факсимильное устройство будет работать в Windows XP, лучше подключить или вставить это устройство в компьютер до установки операционной системы.
Если устройство подключается после установки Windows XP, система должна обнаружить факсимильное устройство при запуске и установить службу факсов и факс-принтер. Если эти компоненты автоматически не установятся при запуске, нужно запустить Мастер оборудования (Hardware Wizard) для поиска и установки устройства.
| Примечание |
| Служба факсов в Windows XP не поддерживает совместное использование (sharing) факс-принтеров. |
При наборе номера факс использует информацию о способе набора, установленную в группе параметров Параметры телефона и модема на панели управления. В мастере рассылки факсов (Send Fax Wizard) есть функция отмены телефонных установок и набора номера телефона в том виде, в каком они введены. Монитор факсов (Fax Monitor) позволяет просматривать все события, связанные с передачей факсимильных сообщений. Можно установить ручной ответ на звонки, можно также использовать эту утилиту для отмены приема или передачи факсов.
Элементы политики удаленного доступа
Элементы политики удаленного доступа
Политика удаленного доступа — именованное правило, в которое входят следующие элементы: условия, разрешение (право) удаленного доступа, а также профиль.
| Условия (Conditions). .Условия политики удаленного доступа— это один или несколько атрибутов (Рисунок 19.7, табл. 19.15), которые сравниваются с параметрам настройки попытки соединения. Если имеется несколько условий, то все условия должны соответствовать параметрам попытки соединения, которое сопоставляется политике. |
Коммуникационные службы
Коммуникационные службы
Конфигурирование диапазонов IPадресов для преобразования
Конфигурирование диапазонов IP-адресов для преобразования
Для конфигурирования диапазонов IP-адресов для преобразования в окне оснастки Маршрутизация и удаленный доступ в разделе Маршрутизация IP (IP Routing) разверните узел Преобразование сетевых адресов (NAT), щелкните правой кнопкой мыши на нужном интерфейсе и выберите в появившемся контекстном меню команду Свойства.
На вкладке Пул адресов (Address Pool) (Рисунок 19.14) нажмите кнопку Добавить (Add) и выполните одно из следующих действий:
| Если используется диапазон IP-адресов, которые могут быть заданы при помощи IP-адреса и маски подсети, в поле Начальный адрес (Start address) укажите начальный адрес, а в поле Маска (Subnet mask) — маску подсети. | |
| Если используется диапазон IP-адресов, которые не могут быть заданы при помощи IP-адреса и маски подсети, то в поле Начальный адрес укажите начальный адрес, а в поле Конечный адрес — конечный IP-адрес. |
| Примечание |
| Если имеется несколько интервалов адресов, можно добавить каждый из них отдельно, нажав кнопку Добавить. |
Конфигурирование других компьютеров
Конфигурирование других компьютеров в сети малого офиса или в домашней сети
Можно настроить протокол TCP/IP на других компьютерах в сети малого офиса или в домашней сети, чтобы они получали IP-адреса автоматически. Когда компьютеры в домашней сети получают свой IP-адрес с компьютера, на котором функционирует NAT, получаемая ими конфигурация будет следующей:
| IP-адрес (из сети с идентификатором 192.168.0.0 и маской 255.255.255.0) | |
| Маска подсети (255.255.255.0) | |
| Шлюз по умолчанию (IP-адрес интерфейса компьютера-преобразователя адресов, находящегося в сети малого офиса или в домашней сети) | |
| DNS-сервер (IP-адрес интерфейса компьютера-преобразователя адресов, находящегося в сети малого офиса или в домашней сети) | |
| WINS-сервер (IP-адрес интерфейса компьютера-преобразователя адресов, находящегося в сети малого офиса или в домашней сети) | |
| Тип узла NetBIOS — М-узел {запрос имени NetBIOS вначале передается широковещательно, а затем посылается заданному серверу WINS) |
Конфигурирование компьютерапреобразователя адресов
Конфигурирование компьютера-преобразователя адресов
Чтобы сконфигурировать компьютер-преобразователь адресов, необходимо выполнить следующие действия:
| 1. | Сконфигурировать IP-адрес домашнего сетевого интерфейса.
Для IP-адреса адаптера LAN, соединенного с домашней сетью, необходимо задать следующие значения: IP-адрес: 192.168.0.1 Маска подсети: 255.255.255.0 Шлюз по умолчанию — отсутствует |
| Примечание |
| IP-адрес в данной конфигурации для сетевого интерфейса в домашней сети выбирается из адресного интервала по умолчанию (задается идентификатором сети 192.168.0.0 и маской 255.255.255.0), который задается для компонента адресации преобразователя адресов. Если этот адресный интервал по умолчанию изменяется, то необходимо изменить и IP-адрес частного интерфейса компьютера-преобразователя адресов, чтобы он имел, первый IP-адрес в заданном диапазоне. Использование первого IP-адреса из диапазона — рекомендуемый подход, а не требование для компонента преобразователя адресов. |
Если соединение с Интернетом — постоянное, которое отображается в Windows в качестве интерфейса LAN (типа DDS, T-Carrier, Frame Relay, постоянного ISDN-соединения, ADSL или кабельного модема), или если компьютер подключен к другому маршрутизатору под управлением Windows до соединения с Интернетом, перейти к шагу 5.
Необходимо создать интерфейс с набором номера по запросу, на котором разрешена IP-маршрутизация и который использует оборудование для коммутируемого соединения и идентифицирующую информацию для установления соединения с Интернет-провайдером.
Для статического маршрута по умолчанию получатель — 0.0.0.0, маска подсети — 0.0.0.0. Поскольку соединение с Интернетом — канал "точка-точка", в поле Шлюз (Gateway) можно ввести любой IP-адрес. Необходимо также указать интерфейс с набором номера по запросу (для коммутируемого соединения) или интерфейс LAN (для постоянных или промежуточных соединений) с использованием маршрутизатора для соединения с Интернетом.
| Примечание |
| Компонент адресации преобразователя адресов назначает адреса только из одного диапазона, соответствующего одной подсети. Если к протоколу маршрутизации NAT добавлено несколько интерфейсов LAN, то подразумевается конфигурация с одной подсетью (где все интерфейсы LAN соединены с одной и той же сетью). Если интерфейсы LAN соответствуют различным сетям, связность между клиентскими компьютерами, которые получают адреса от преобразователя адресов, но находятся в разных сетях, невозможна. |
Конфигурирование преобразования специальных портов
Конфигурирование преобразования специальных портов
Для конфигурирования преобразования специальных портов в окне оснастки Маршрутизация и удаленный доступ в разделе Маршрутизация IP выберите узел Преобразование сетевых адресов (NAT), щелкните правой кнопкой мыши на нужном интерфейсе и в появившемся контекстном меню выберите команду Свойства.
На вкладке Особые порты (Special Ports) (Рисунок 19.15) в поле Протокол (Protocol) выберите протокол TCP или UDP и нажмите кнопку Добавить.
| В поле Входящий порт (Incoming port) введите номер внешнего порта. | |
| Если диапазон public-адресов сконфигурирован, введите внешний IP-адрес в поле на этом элементе пула адресов (On this address pool entry). | |
| В поле Исходящий порт (Outgoing port) введите номер внутреннего порта. | |
| В поле Адрес в частной сети (Private address) введите внутренний адрес. |
MS CHAP
MS CHAP
Windows XP включает поддержку MS CHAP (Microsoft Challenge Handshake Protocol, протокол проверки подлинности запроса-подтверждения Microsoft), также известный как MS CHAP версии 1. MS CHAP — это протокол проверки подлинности с необратимым шифрованием пароля.
Windows XP включает поддержку протокола
MS CHAP версии 2
Windows XP включает поддержку протокола MS CHAP, который предоставляет более сильную защиту для соединения удаленного доступа. MS CHAP v2 решает некоторые проблемы функционирования MS CHAP версии 1 (табл. 19.13).
MS CHAP версии 2 — это протокол взаимной проверки подлинности с односторонним Шифрованием пароля.
Настройка диапазонов адресов
Рисунок 19.14. Настройка диапазонов адресов
Настройка факсмодема для приема и/или передачи факсов
Рисунок 19.19. Настройка факс-модема для приема и/или передачи факсов
Настройка порта удаленного доступа
Рисунок 19.3. Настройка порта удаленного доступа
Настройка сетевых приложений
Настройка сетевых приложений
Для настройки сетевых приложений в окне оснастки Маршрутизация и удаленный доступ в разделе Маршрутизация IP щелкните правой кнопкой мыши Преобразование сетевых адресов (NAT) ив появившемся контекстном
меню выберите команду Свойства. На вкладке Преобразование (Translation) (Рисунок 19.16) нажмите кнопку Приложения (Applications).
Чтобы добавить сетевое приложение, в диалоговом окне Приложения (Applications) нажмите кнопку Добавить. В диалоговом окне Приложение общего доступа к подключению Интернета (Add Application) введите настройки для сетевого приложения и нажмите кнопку ОК.
Настройка службы факсов для сохранения принятых сообщений
Рисунок 19.20. Настройка службы факсов для сохранения принятых сообщений
| Редактор титульных страниц факсов
Каждый пользователь компьютера Windows XP может при помощи редактора титульных страниц факсов создавать или изменять шаблоны титульного листа. Можно также создавать общие титульные листы, чтобы совместно использовать их из нескольких профилей. Факс содержит четыре общих шаблона титульных листов. При передаче факса шаблон получает информацию, которая введена на вкладке Сведения о пользователе (User Information) диалогового окна Свойства факса (Fax Properties), и автоматически добавляет ее к передаваемому титульному листу. Можно использовать существующие титульные листы (файлы с расширением cov). Также можно конвертировать титульные листы из службы факсов Windows 95 (файлы с расширением сре) для применения со службой факсов Windows XP. |
Новые возможности удаленного доступа в Windows XP
Новые возможности удаленного доступа в Windows XP
Новые возможности службы удаленного доступа Windows XP Server перечислены в табл. 19.1.
Один или несколько publicадресов
Один или несколько public-адресов
Если используется один public-адрес IP, предоставленный Интернет-провайдером, то дополнительная настройка IP-адреса не требуется. Если используется несколько IP-адресов, выделенных провайдером, необходимо настроить интерфейс NAT на диапазон public-адресов. Для диапазона выделенных IP-адресов следует определить, может ли диапазон public-адресов быть выражен при помощи одного IP-адреса и маски подсети.
Если был выдан ряд адресов, количество которых является степенью 2 (2, 4, 8, 16 и т. д.), имеется вероятность, что диапазон можно выразить при помощи одного IP-адреса и маски подсети. Например если предоставлены четыре public-адреса 200.100.100.212, 200.100.100.213, 200.100.100.214 и 200.100.100.215, предоставленных провайдером, то их можно представить как один адрес 200.100.100.212 с маской подсети 255.255.255.252.
Если IP-адреса нельзя выразить в виде IP-адреса и маски подсети, то можно ввести их как диапазон или ряд диапазонов, указывая начальный и конечный IP-адреса.
Окно оснастки Маршрутизация и
Рисунок 19.4. Окно оснастки Маршрутизация и удаленный доступ (Routing and Remote Access)
Ответный вызов
Ответный вызов
Если применяется ответный вызов, пользователь инициализирует запрос и соединяется с сервером удаленного доступа (табл. 19.14). Сервер удаленного доступа после проверки подлинности пользователя "вешает трубку" и осуществляет ответный вызов по номеру, определенному звонящим пользователем или заданному администратором. Привилегия ответного вызова назначается для каждого пользователя, если ему предоставлено разрешение удаленного доступа.
PAP
PAP
Протокол PAP использует пароли, передаваемые открытым текстом, и является наименее сложным протоколом проверки подлинности. Обычно соединение на его основе устанавливается, если клиент удаленного доступа и сервер удаленного доступа не могут договориться о более безопасной форме проверки подлинности.
Когда РАР устанавливается в качестве опознавательного протокола, пароли пользователей передаются открытым текстом. Всякий, кто перехватит пакеты процесса проверки подлинности, может легко прочитать пароль и использовать его для несанкционированного доступа к корпоративной сети. Нежелательно использовать РАР, особенно для соединений VPN. После отключения проверки подлинности на базе РАР на сервере удаленного доступа пароли никогда не будут передаваться открытым текстом. Отключение РАР увеличивает защиту проверки подлинности, но после этого клиенты удаленного доступа, которые поддерживают только РАР, не смогут установить соединение.
Политика удаленного доступа
Политика удаленного доступа
Политика удаленного доступа - набор условий и параметров соединения которые предоставляют сетевому администратору больше гибкости в настройке разрешений удаленного доступа и атрибутов соединения. Политика удаленного доступа хранится на локальном компьютере. При помощи политики удаленного доступа можно предоставлять разрешения удаленного доступа в зависимости от времени дня, дня недели, группы Windows, к которой принадлежит звонящий пользователь, типа требуемого соединения (коммутируемое или VPN-соединение). Можно определить параметры настройки соединения, которые ограничивают максимальное время сеанса связи, тип аутентификации и шифрования, политику ВАР и фильтрацию IP-пакетов.
В Windows NT 3.5 и 4.0 удаленный доступ предоставлялся на основе простого разрешения удаленного доступа с применением утилит User Manager или Routing and Remote Access Admin. Параметры ответного вызова задавались для каждого пользователя. В Windows XP разрешения удаленного доступа предоставляются на основе свойств политики удаленного доступа и учетной записи пользователя.
Важно помнить, что при использовании политик удаленного доступа соединение разрешается, только если параметры настройки соединения соответствуют, по крайней мере, одной из политик удаленного доступа (в соответствии со свойствами учетной записи пользователя и конфигурацией политики удаленного доступа). Если параметры настройки при попытке соединения не соответствуют хотя бы одной из политик удаленного доступа, попытка соединения отклоняется, независимо от свойств учетной записи пользователя. На серверах удаленного доступа под управлением Windows XP политика удаленного доступа конфигурируется из оснастки RRAS. На серверах IAS в среде Windows XP политика удаленного доступа управляется из оснастки Служба проверки подлинности в Интернете.
Политика удаленного доступа по умолчанию
Политика удаленного доступа по умолчанию
Политика удаленного доступа по умолчанию (default policy) работает так: удаленный доступ с ее использованием разрешается, если для устанавливающего входящее соединение пользователя предоставлено разрешение удаленного доступа. Эта политика создается при установке службы маршрутизации и удаленного доступа. Политика по умолчанию имеет следующую конфигурацию:
| Ограничения дня недели и времени (Day-and-Time-Restrictions) установлены для всех дней недели и времен суток | |
| Право удаленного доступа запрещено (Deny remote access permission) | |
| Все свойства профиля установлены в значения по умолчанию |
Порты удаленного доступа
Рисунок 19.2. Порты удаленного доступа
В диалоговом окне Настройка устройства — имя_устройства (Configure Device — имя_устройства) выполните следующие действия (Рисунок 19.3):
| 1. | Чтобы активизировать удаленный доступ, установите флажок Подключения удаленного доступа (только входящие) (Remote access connections (inbound only)). |
| 2. | Чтобы разрешить маршрутизацию с установлением соединения по требованию, установите флажок Подключения по требованию (входящие и исходящие) — Demand-dial routing connections (inbound and outbound). |
Поставщик удаленных услуг TAPI
Поставщик удаленных услуг TAPI
В TAPI (Рисунок 19.23) включены отдельные поставщики услуг, включая те, которые позволяют реализовать клиент-серверные возможности, например, Microsoft Windows Remote Service Provider (Поставщик удаленных услуг Microsoft Windows). Поставщик услуг включает следующие компоненты (некоторые из них вызываются из командной строки):
| Компоненты на стороне сервера
Следующие компоненты должны функционировать на сервере TAPI: Оснастка Телефония (Telephony). Дает возможность управлять телефонными линиями и пользователями. Доступна через оснастку Управление компьютером (Computer Management) — узел Службы и приложения (Services and Applications). Поставщик услуг телефонии (Telephony Service Provider). Поставляется изготовителем телефонного коммутатора. Транслирует обобщенные команды, посылаемые службой TAPI, в специальные команды коммутатора. |
Поставщики услуг IPтелефонии
Поставщики услуг IP-телефонии
TAPI поддерживает стандарт Н.323 и стандарт групповой конференц-связи IP при помощи соответствующих служб Microsoft Windows XP.
Н.323 — всеобъемлющий стандарт ITU для передачи мультимедиа (голоса, видео и данных) по сетям без установления логического соединения, например, по сетям IP и Интернет, которые не обеспечивают гарантированное качество обслуживания (QoS). Стандарт описывает управление вызовом, мультимедиа и шириной полосы пропускания для двухточечных и многоточечных конференций. Н.323 поддерживает стандартные звуковые и видеокодеры и декодеры и обеспечивает поддержку совместного использования данных по стандарту Т. 120. Н.323 — стандарт, не зависящий от сети, платформы и прикладного уровня, что позволяет любому терминалу, соответствующему Н.323, взаимодействовать с любым другим терминалом.
В Н.323 сетевой адрес пользователя (в данном случае, IP-адрес пользователя) может изменяться и не может считаться неизменным в течение сеанса. Поставщик услуг Microsoft TAPI "Н.323 использует службу Active Directory для того, чтобы производить преобразование (разрешение) адресов. Специально для этого информация об отображении адреса и имени пользователя хранится и непрерывно обновляется в Службе локатора Интернета (Internet Locator Service, ILS), являющейся компонентом Active Directory.
Правила предоставления удаленного доступа
Правила предоставления удаленного доступа
После того как установлен сервер удаленного доступа, нужнб определить, какие пользователи могут устанавливать соединение с ним. Для Windows XP разрешение удаленного доступа определяется политикой удаленного доступа и учетной записью пользователя.
Не нужно создавать отдельные учетные записи только для пользователей удаленного доступа. Серверы удаленного доступа используют учетные записи пользователей, расположенные в общей базе данных учетных записей пользователей согласно общим механизмам защиты Windows XP.
Преобразование сетевых адресов (NAT)
Преобразование сетевых адресов (NAT)
Общие понятия
Средство NAT (Network Address Translation, преобразование (трансляция) сетевых адресов) в Windows XP позволяет легко подключить домашнюю сеть или сеть малого офиса к Интернету. NAT состоит из следующих компонентов:
| Примечание |
| Для компактности изложения в тексте чаще используется аббревиатура — NAT. Однако в некоторых случаях она обозначает преобразование сетевых адресов (процедуру), а в других — преобразователь сетевых адресов (программный продукт). Это не должно приводить к путанице. |
| Компонент преобразования — компьютер (далее называемый компьютер-преобразователь адресов), действующий как транслятор сетевых адресов (NAT) и преобразующий IP-адреса и номера портов пакетов TCP и датаграмм UDP, которыми обмениваются частная сеть и Интернет. | |
| Компонент адресации. Компьютер-преобразователь адресов предоставляет информацию о конфигурации IP-адреса другим компьютерам домашней сети. Компонент адресации — упрощенный DHCP-сервер, который предоставляет IP-адрес, маску подсети, IP-адреса шлюза по умолчанию, DNS-сервера и WINS-сервера (в качестве последних трех адресов используется IP-адрес компьютера с преобразователем адресов). Компьютеры в домашней сети должны быть сконфигурированы как клиенты DHCP, чтобы автоматически получать конфигурацию IP. | |
| Компонент разрешения имен. Компьютер с преобразователем адресов становится DNS-сервером и WINS-сервером для других компьютеров в домашней сети. Когда компьютер с преобразователем адресов получает запросы о разрешении имен, он пересылает запросы о разрешении имен серверам DNS и WINS в межсетевой среде, на которые он настроен, и возвращает ответы на компьютер в локальной сети. |
| Примечание |
| Преобразователь адресов разработан специально для подключения к Интернету сети малых или домашних офисов. Он не предназначен для того, чтобы объединять сети малых или домашних офисов или подсоединять филиалы к общей сети. |
Пример NAT
Пример NAT
Если сеть малого предприятия использует идентификатор сети 192.168.0.0 для интрасети и имеется public-адрес a.b.c.d, полученный от Интернет-провайдера, то NAT отображает все частные адреса в сети 192.168.0.0 в IP-адрес a.b.c.d. Если несколько частных адресов отображаются в один public-адрес с использованием NAT, TCP- и UDP-порты выбираются динамически, чтобы отличить один компьютер внутри интрасети от другого.
На Рисунок 19.9 показано применение NAT для "прозрачного" соединения интрасети с Интернетом.
| Примечание |
| Записи a.b.c.d и e.f.g.h представляют допустимые public-IP-адреса, выданные InterNIC или Интернет-провайдером. |
Проектирование сети с преобразованием адресов
Проектирование сети с преобразованием адресов
Прежде чем реализовать сеть с преобразованием адресов, рассмотрим некоторые аспекты ее построения, описанные в следующих разделах, чтобы избежать проблем.
