Работа с системным реестром Windows XP

         

Протоколы проверки подлинности ЕАР



Протоколы проверки подлинности ЕАР

При помощи ЕАР (Extensible Authentication Protocol, расширяемый протокол идентификации) можно подключить любой механизм проверки подлинности (аутентификации), который будет проверять достоверность информации о пользователе, установившем соединение удаленного доступа. Точная схема аутентификации, используемая соединением, устанавливается в результате переговоров между клиентом удаленного доступа и сервером удаленного доступа. Можно применять ЕАР для поддержки разных схем аутентификации, например, типа General Token Card (Универсальная жетонная карта), MD5-Challenge (Запрос MD5), TLS (Transport Level Security, Защита транспортного уровня) для поддержки смарт-карт, а также S/Key. Впрочем, можно использовать любые другие схемы, реализуемые в будущем. ЕАР позволяет производить открытые переговоры между клиентом удаленного доступа и сервером удаленного доступа, состоящие из запросов сервера на получение аутентификационной информации и соответствующих ответов клиента. Например, если ЕАР используется с жетонными картами, сервер удаленного доступа может отдельно запросить у клиента удаленного доступа название, PIN-код и емкость жетонной карты. Если на все вопросы получены удовлетворительные ответы, клиент удаленного доступа аутентифицируется и получает разрешение на удаленный доступ к сети.

Специальная схема проверки подлинности ЕАР называется типом ЕАР (ЕАР type). Для успешной проверки подлинности клиента клиент удаленного доступа и сервер удаленного доступа должны поддерживать один и тот же тип ЕАР.

Windows XP включает поддержку инфраструктуры ЕАР, два типа ЕАР (EAP-MD5 CHAP и EAP-TLS) и возможность передавать сообщения ЕАР серверу RADIUS (EAP-RADIUS).

Чтобы разрешить проверку подлинности на базе ЕАР, нужно:

Разрешить ЕАР как протокол проверки подлинности на сервере удаленного доступа.
Разрешить ЕАР, и, если требуется, настроить тип ЕАР для соответствующей политики удаленного доступа.


Разрешить и настроить ЕАР на стороне клиента удаленного доступа под управлением Windows XP.



Разрешение адресации



Разрешение адресации

Для разрешения адресации следует в окне оснастки Маршрутизация и удаленный доступ в разделе Маршрутизация IP (IP Routing) щелкнуть правой кнопкой мыши на узле Преобразование сетевых адресов (NAT) и в появившемся контекстном меню выбрать команду Свойства.

На вкладке Назначение адресов (Address Assignment) установить флажок Автоматически назначать IP-адреса с использованием DHCP (Automatically assign IP addresses by using DHCP) (Рисунок 19.12).



Разрешение распознавания имен для преобразования адресов



Разрешение распознавания имен для преобразования адресов

Чтобы разрешить распознавание имен для преобразования адресов в окне оснастки Маршрутизация и удаленный доступ, в разделе Маршрутизация IP (IP

Routing) щелкните правой кнопкой мыши на узле Преобразование сетевых адресов (NAT) и в появившемся контекстном меню выберите команду Свойства.

В появившемся окне на вкладке Разрешение имен в адреса (Name Resolution) (Рисунок 19.13) выполните одно из следующих действий:

Для разрешения имен NetBIOS при помощи сервера WINS установите флажок клиентов, использующих службу WINS (Clients using Windows Internet Name Service (WINS)) (опция может отсутствовать).
Для разрешения имен хостов при помощи сервера DNS установите флажок клиентов, использующих службу DNS (Clients using Domain Name System (DNS)).


Разрешение входящего соединения



Разрешение входящего соединения

Обычно NAT используется в домашней или малой сети, чтобы разрешить исходящие соединения (из частной сети в общую сеть). Приложения типа веббраузеров, работающих в частной сети, создают соединения с ресурсами Интернета. Обратный трафик из Интернета может пересечь NAT, поскольку соединение было инициализировано ранее клиентом, находящимся в частной сети.

Для разрешения входящего соединения необходимо настроить статическую конфигурацию IP на сервере, на котором расположен ресурс, включая IP-адрес (из диапазона IP-адресов, распределяемых с помощью NAT), маску подсети (из диапазона IP-адресов, распределенных NAT), шлюз по умолчанию (частный IP-адрес компьютера с NAT) и сервер DNS (частный IP-адрес компьютера с NAT).

Затем необходимо исключить IP-адрес, присвоенный компьютеру, на котором расположен ресурс, из диапазона IP-адресов, распределяемых компькь тером с NAT.

Наконец, на последнем шаге необходимо настроить специальный порт. Специальный порт — статическое отображение общего адреса и номера порта в частный адрес и номер порта. Специальный порт отображает входящее соединение от пользователя из Интернета в специфический адрес в частной сети. Это позволяет создавать в частной сети веб-серверы, доступные из Интернета.




Редакторы NAT



Редакторы NAT

По умолчанию NAT транслирует IP-адреса и TCP/UDP-порты. Если IP-адрес и информация о порте содержатся только в заголовках IP и TCP/UDP, то прикладной протокол также будет правильно транслироваться nat!

Пример — протокол HTTP (Hypertext Transfer Protocol, протокол передачи гипертекста), используемый в WWW (World Wide Web).

Однако имеются приложения и протоколы, которые содержат IP-адрес или информацию о порте TCP/UDP в теле сообщений, а не в заголовках TCP/UDP. Пример — протокол FTP, который для команды ftp port передает десятичное представление IP-адреса в теле команды. Если NAT неправильно транслирует IP-адрес внутри команды FTP, то могут возникнуть проблемы установления соединения.

Также имеются протоколы, которые не используют для передачи данных ни TCP, ни UDP (большинство протоколов использует для доставки пакетов транспортные протоколы TCP или UDP). Например, транспортный протокол РРТР не использует для доставки данных TCP/UDP. Вместо заголовков TCP или UDP используется специальный заголовок общей инкапсуляции маршрутизации (ORE, Generic Routing Encapsulation) и специальное поле Tunnel ID для идентификации потока данных. Если бы NAT не транслировал это поле, то передача данных при помощи протокола РРТР через NAT была бы невозможна.

Если компонент NAT должен дополнительно транслировать и корректировать не только заголовки IP, TCP и UDP, но и служебную информацию в теле пакетов, требуется редактор NAT. Редактор NAT — устанавливаемый компонент, который может корректно изменять не транслируемую иным способом информацию — так, чтобы она могла быть передана через NAT. В составе Windows XP имеются NAT-редакторы для протоколов FTP, ICMP, РРТР. Возможно появление NAT-редакторов для трансляции протоколов SNMP, LDAP, Microsoft COM, RPC.

Примечание

Трансляция трафика, передаваемого по протоколам IPSec и Н.323, невозможна даже при использовании специального редактора NAT.




Регистрация и протоколирование



Регистрация и протоколирование

Сервер удаленного доступа Windows XP поддерживает два типа регистрации:

Регистрация событий RAS — регистрация событий в журнале событий системы Windows XP. Обычно используется для решения проблем или уведомления системных администраторов о необычных событиях.
Регистрация проверки подлинности и учетной информации — сервер удаленного доступа под управлением Windows XP поддерживает эту регистрацию для соединений удаленного доступа, если разрешен сбор учетной информации Windows (Windows accounting). Эта регистрация происходит отдельно от событий, зарегистрированных в системном журнале событий. На основе регистрируемой информации можно проследить использование удаленного доступа и попытки аутентификации. Регистрация особенно полезна для оперативного решения проблем при работе с политиками удаленного доступа. Для каждой попытки аутентификации регистрируется название политики удаленного доступа, в соответствии с которой была принята или отклонена попытка установления соединения. Аутентификационная и учетная информация сохраняются в файле (или файлах) журнала, который находится в папке %SystemRoot9?\System32 \LogFiles. Журналы хранятся в формате IAS 1.0 или IAS 2.0. Файлы журнала доступны через интерфейс ODBC — любая программа, поддерживающая ODBC, может читать журнал напрямую для анализа содержащейся в нем информации.


Типы регистрируемых



Рисунок 19.5.


Типы регистрируемых событий


Параметры настройки журнала



Рисунок 19.6. Параметры настройки журнала


Чтобы настроить регистрацию проверки подлинности и учетной информации, сначала нужно разрешить сбор учетной информации Windows Далее можно настроить тип регистрируемых действий (учет или действия по проверке подлинности) (Рисунок 19.5) и параметры журнала (Рисунок 19.6). Чтобы настроить регистрацию, выполните одно из следующих действий:

Откройте окно оснастки Маршрутизация и удаленный доступ. Выберите сервер, для которого нужно настроить регистрацию.
Откройте окно оснастки Служба проверки подлинности в Интернете

(Internet Authentication Service).

В дереве оснастки выберите узел Ведение журнала удаленного доступа

(Remote Access Logging). В правом подокне выберите любой журнал затем в контекстном меню выберите команду Свойства.




Добавление политики удаленного доступа



Рисунок 19.7.


Добавление политики удаленного доступа — условия и атрибуты
Право удаленного доступа (Remote access permission). Если все условия политики удаленного доступа выполнены, то право удаленного доступа или предоставляется, или отклоняется. Для политики нужно выбрать положение переключателя Предоставить право удаленного доступа (Grant remote access permission) или Запретить разрешение удаленного доступа (Deny remote access permission). Право удаленного доступа также предоставляется или отклоняется для каждой учетной записи пользователя. Право удаленного доступа пользователю перекрывает право удаленного доступа политики. Если право удаленного доступа в учетной записи пользователя установлено в значение Управление на основе политики удаленного доступа (Control Access through Remote Access policy), удаленный доступ предоставляется согласно разрешению политики. Предоставление доступа через настройку права учетной записи пользователя или настройку права политики — это только первый шаг в принятии соединения. Параметры попытки соединения сравниваются с параметрами учетной записи пользователя и профилем политики. Попытка соединения, не соответствующая свойствам учетной записи пользователя или профиля, отклоняется. По умолчанию для политики удаленного доступа установлено значение Отказать в праве удаленного доступа (Deny remote access permission).
Профиль (Profile). Профиль политики удаленного доступа — набор параметров, которые применяются к соединению после того (post-условие), как разрешение удаленного доступа будет получено (в соответствии с учетной записью пользователя или политикой) (Рисунок 19.8, табл. 19.16).


Окно профиля политики удаленного



Рисунок 19.8.


Окно профиля политики удаленного доступа



Пример использования NAT



Рисунок 19.9. Пример использования NAT


Если частный пользователь на компьютере с адресом 192.168.0.10 соединяется с веб-сервером по адресу e.f.g.h при помощи веб-браузера, то стек IP пользователя создает IP-пакет со следующей информацией:

IP-адрес получателя: e.f.g.h
IP-адрес отправителя: 192.168.0.10
Порт получателя: TCP-порт 80
Порт отправителя: TCP-порт 1025

Этот IP-пакет затем пересылается NAT для преобразования адресов исходящего пакета к следующим:

IP-адрес получателя: e.f.g.h
IP-адрес отправителя: a.b.c.d
Порт получателя: TCP-порт 80
Порт отправителя: TCP-порт 5000

NAT хранит отображение {192.168.0.10, TCP 1025} в {a.b.c:d, TCP 5000} в своей внутренней таблице.

Преобразованный таким образом IP-пакет пересылается через Интернет. Когда ответ получен NAT, пакет содержит следующую общую информацию об адресах:

IP-адрес получателя: a.b.c.d
IP-адрес отправителя: e.f.g.h
Порт получателя: TCP-порт 5000
Порт отправителя: TCP-порт 80

NAT проверяет свою адресную таблицу, отображает public-адреса в частные и передает пакет на компьютер по адресу 192.168.0.10. Посланный пакет содержит следующую информацию об адресах:

IP-адрес получателя: 192.168.0.10
IP-адрес отправителя: e.f.g.h
Порт получателя: TCP-порт 1025
Порт отправителя: TCP-порт 80

Для пакетов, исходящих из NAT, IP-адрес отправителя (частный адрес) отображается в адрес, выданный Интернет-провайдером (public-адрес), а номер, порта TCP/UDP отображается в другой номер порта TCP/UDP.

Для пакетов, приходящих NAT, IP-адрес получателя (public-адрес) отображается в оригинальный адрес интрасети (частный адрес), а номер порта TCP/UDP отображается обратно к оригинальному номеру порта TCP/UDP.

Примечание

NAT правильно транслирует пакеты, содержащие IP-адрес только в IP-заголовке. IP-пакеты, содержащие IP-адрес в теле пакета, не могут правильно транслироваться при помощи NAT.




Добавление NAT как протокола



Рисунок 19.10.


Добавление NAT как протокола маршрутизации

Выполнить одно из следующих



Рисунок 19.11.


Добавление NAT — настройка интерфейса Выполнить одно из следующих действий (Рисунок 19.11):
Если этот интерфейс подключен к Интернету, на вкладке Общие (General) в окне Свойства: имя_интерфейса (Properties: имя_интерфейса) соответствующего интерфейса выбрать положение переключателя Общий интерфейс подключен к Интернету (Public interface connected to the Internet) и установить флажок Преобразовать заголовки TCP/UDP (рекомендуется) (Translate TCP/UDP headers (recommended)).
Если этот интерфейс подключен к небольшой офисной сети или к домашней сети, то на вкладке Общие в окне Свойства соответствующего интерфейса выбрать положение переключателя Частный интерфейс подключен к частной сети (Private interface connected to private network).
Примечание
Для коммутируемого подключения к Интернету необходимо выбрать интерфейс с установлением соединения по запросу, который настроен на установку соединения с Интернет-провайдером.
Для постоянного подключения к Интернету выбрать интерфейс, постоянно соединенный с провайдером.
Преобразование адресов нужно разрешать только на интерфейсах, соединенных с глобальной сетью (Интернетом).


При необходимости ввести информацию



Рисунок 19.12.


Настройка адресации При необходимости ввести информацию в полях IP-адрес (IP address) и Маска (Mask), чтобы задать диапазон адресов и маску для выделения клиентам DHCP на частной сети. Если требуется исключить некоторые адреса из выделения клиентам DHCP, нужно нажать кнопку Исключить (Exclude) и задать эти адреса.
По окончании настройки нажать кнопку ОК.

Шифрование данных



Шифрование данных

Для защиты данных, передаваемых между клиентом и сервером удаленного доступа, можно использовать шифрование. Шифрование данных важно для финансовых учреждений, правоохранительных и правительственных органов и корпорации, которым требуется безопасная передача данных. Для служб, требующих конфиденциальности данных, сетевой администратор может настроить сервер удаленного доступа на использование только шифрованного обмена данными. Пользователи, которые соединяются с таким сервером, должны шифровать свои данные, иначе соединение не производится.

При коммутируемом соединении можно защитить данные, зашифровав их на пути между клиентом и сервером удаленного доступа. Шифрование данных необходимо, если есть риск перехвата данных на линии связи между клиентом и сервером удаленного доступа. Для коммутируемых сетевых соединений Windows XP использует шифрование "точка-точка" Microsoft (Microsoft Point-to-Point Encryption, MPPE). MPPE требует применения протоколов проверки подлинности MS CHAP или EAP-TLS.

При VPN-соединении можно защитить данные, зашифровав их на пути между концами виртуальной частной сети (VPN). Необходимо применять шифрование данных для VPN-соединения, если частные данные передаются по сети общего пользования (например, Интернет), где всегда есть риск перехвата данных. Для VPN-соединения Windows XP использует шифрование МРРЕ с протоколом РРТР и шифрование IPSec с протоколом L2TP, Поскольку шифрование данных выполняется между VPN-клиентом и VPN-сервером, то на соединении между клиентом удаленного доступа и Интернет-провайдером оно уже не является необходимым.

Шифрование данных для РРР- или РРТР-соединения возможно, только если используются протоколы проверки подлинности MS CHAP или EAP-TLS. Шифрование данных для PТР-соединения основано на механизмах IPSec, для которых специальные протоколы проверки подлинности не требуются.




Служба факсимильных сообщений



Служба факсимильных сообщений

Служба факсов (Fax Service) позволяет посылать и получать факсимильные сообщения без использования дополнительных программ, поскольку все, что для этого нужно, — факс-модем. Можно легко передавать по факсу документы при помощи команды Печать, которая обычно имеется в текстовых процессорах, электронных табличных процессорах и в приложениях других типов. Также можно использовать почтовые программы, чтобы одновременно посылать электронную почту и факсимильные сообщения.




Служба удаленного доступа



Служба удаленного доступа

Служба удаленного доступа, входящая в состав Microsoft Windows XP, позволяет удаленным или мобильным работникам подключаться к корпоративным вычислительным сетям, например, по телефонной коммутируемой линии и работать с ресурсами сети как обычно. Удаленный доступ также обеспечивает поддержку виртуальных частных сетей (Virtual Private Network, VPN), чтобы пользователи могли устанавливать безопасное соединение с корпоративной сетью через общественные сети, например, через Интернет.

Сервер удаленного доступа в Windows XP Server является частью интегрированной службы маршрутизации и удаленного доступа (Routing and Remote Access Service, RRAS). Пользователи устанавливают соединение с сервером удаленного доступа с помощью клиентского программного обеспечения удаленного доступа. Сервер удаленного доступа — компьютер с ОС Windows XP Server и установленной службой маршрутизации и удаленного доступа — аутентифицирует как пользователей, так и сеансы связи удаленных маршрутизаторов. Все службы, доступные пользователю, подключенному к LAN (включая совместное использование файлов и принтеров, доступ к веб-серверам и передачу сообщений по электронной почте), доступны и пользователю, подключенному удаленно.

Клиент удаленного доступа использует стандартные средства для доступа к ресурсам. Например, на компьютере под управлением Windows XP подключение дисков и принтеров выполняется при помощи Проводника. Подключения постоянны: пользователи не должны повторно подключать сетевые ресурсы в течение сеанса удаленного доступа. Поскольку имена дисков и имена UNC (Universal Naming Convention, универсальное соглашение об именовании) полностью поддерживаются при удаленном доступе, большинство обычных действий пользователей и работа приложений остаются неизменными при работе через удаленный доступ.

Сервер удаленного доступа под управлением Windows XP предоставляет два различных типа соединения удаленного доступа:

Коммутируемый доступ. Это соединение, при котором клиент удаленного доступа устанавливает коммутируемую связь для подключения к физическому порту на сервере удаленного доступа, используя службу-посредник для передачи данных, например аналоговый телефон, ISDN или Х.25. Наиболее типичный пример коммутируемого доступа — установление соединения клиентом удаленного доступа при помощи модема, то есть путем набора телефонного номера одного из портов сервера удаленного доступа.
Виртуальное частное соединение (VPN-соединение). Это защищенное соединение типа "точка-точка" через сеть общего пользования (например, Интернет) или большую корпоративную сеть. Чтобы послать виртуальный запрос к виртуальному порту на VPN-сервере, VPN-клиент использует специальные протоколы на базе стека TCP/IP, которые называются протоколами туннелирования (tunneling protocols). Наиболее типичный пример организации виртуальной частной сети — установление соединения VPN-клиента с частной сетью через сервер удаленного доступа, который подключен к Интернету. Сервер удаленного доступа отвечает на виртуальный запрос, затем аутентифицирует вызывающую программу и осуществляет обмен данными между клиентом VPN и корпоративной сетью. В отличие от коммутируемого доступа, VPN-соединение не является непосредственным, "прямым" соединением между VPN-клиентом и VPN-сервером. Чтобы гарантировать безопасность, данные, передаваемые по соединению, нужно шифровать.



Службы доступа к телефонии в Windows XP



Рисунок 19.22. Службы доступа к телефонии в Windows XP


В состав Windows XP входит ряд стандартных служб доступа — поставщиков телефонных услуг, реализующих различные функции (Рисунок 19.22).




SPAP



SPAP

SPAP (Shiva Password Authentication Protocol, протокол проверки подлинности пароля Shiva) использует реверсивный механизм шифрования Shiva. Windows XP использует SPAP при соединении с Shiva LAN Rover. Также поступает и клиент Shiva, который соединяется с сервером удаленного доступа под управлением Windows XP Server. Эта схема проверки подлинности более безопасна, чем передача данных открытым текстом, но менее безопасна, чем CHAP или MS CHAP.




Сравнение средств удаленного доступа



Сравнение средств удаленного доступа в Windows XP и Windows NT 4.0

В табл. 19.2 перечислены общие задачи конфигурирования удаленного доступа в Windows XP. Интерфейс пользователя для выполнения этих задач в Windows XP отличается от интерфейсов Windows NT 4.0 и Windows NT 4.0 с установленной службой маршрутизации и удаленного доступа (RRAS).



Удаленный доступ в Windows XP Server



Таблица 19.1. Удаленный доступ в Windows XP Server

Возможность

Описание

Интеграция с Windows XP Active Directory

Сервер удаленного доступа на Windows XP Server, являющийся частью домена Windows XP и зарегистрированный в Active Directory, может обращаться к параметрам настройки удаленного доступа для пользователя (например, к разрешениям удаленного доступа и параметрам ответного вызова), которые хранятся в Active Directory. После регистрации сервера удаленного доступа в Active Directory им можно управлять и отслеживать его состояние при помощи средств на базе Active Directory, например, при помощи оснастки Маршрутизация и удаленный доступ

MS CHAP версии 2

MS CHAP (Microsoft Challenge Handshake Authentication Protocol, Протокол проверки подлинности запроса-подтверждения Microsoft) версии 2 предназначен для обмена идентификационной информацией и порождения ключей шифрования во время установления соединения удаленного доступа. MS CHAP версии 2 поддерживает VPN

EAR

Расширяемый протокол идентификации (ЕАР, Extensible Authentication Protocol) позволяет использовать новые методы проверки подлинности для удаленного доступа, включая реализацию защиты, основанную на смарт-картах. Интерфейс ЕАР позволяет подключать модули проверки подлинности сторонних производителей

ВАР

ВАР (Bandwidth Avocation Protocol, Протокол распределения полосы пропускания) и ВАСР (Bandwidth Allocation Control Protocol, Протокол управления распределением полосы пропускания) повышают эффективность работы многоканальных РРР-соединений, динамически подключая или отключая дополнительные каналы, приспосабливаясь к изменению трафика

Политика удаленного доступа (Remote Access Policy)

Политика удаленного доступа — набор условий и параметров настройки соединения, которые предоставляют большую гибкость сетевым администраторам по установке и настройке разрешений удаленного доступа и атрибутов соединений

L2TP

Помимо РРТР, сервер удаленного доступа Windows XP поддерживает протокол L2TP (Layer 2 Tunneling Protocol, Протокол туннелирования второго уровня), являющийся промышленным стандартом, который используется вместе с протоколом IPSec для создания безопасных VPN-соединений

Поддержка клиентов удаленного доступа Apple Macintosh

Удаленный доступ в Windows XP поддерживает подключение клиентов удаленного доступа Apple Macintosh, которые используют протокол AppleTalk вместе с протоколом удаленного доступа AppleTalk (AppleTalk Remote Access Protocol, ARAP) или с протоколом PPP

Поддержка широковещания IP (IP Multicast)

Используя tGMP router and proxy версии 2 (маршрутизатор и посредник IGMP), сервер удаленного доступа поддерживает обмен групповым IP-трафиком между клиентами удаленного доступа и Интернетом или корпоративной сетью

Блокировка учетной записи (Account lockout)

Блокировка учетной записи — функция защиты, которая отменяет разрешение удаленного доступа для учетной записи Пользователя после определенного числа неудавшихся попыток проверки подлинности, например, в случае попыток подбора пароля по словарю



Настройка удаленного



Таблица 19.2. Настройка удаленного доступа Windows XP и Windows NT 4.0

Действия

Windows NT 4.0

Windows NT 4.0 с установленной службой RRAS

Windows XP

Установка, конфигурирование и удаление службы удаленного доступа

Control Panel | Network, вкладка Services

Control Panel | Network, вкладка Services

Оснастка Маршрутизация и удаленный доступ (Routing and Remote Access)

Настройка проверки подлинности и параметров шифрования

Control Panel I Network, вкладка Services

Control Panel | Network, вкладка Services

Оснастка Маршрутизация и удаленный доступ

Управление серверами и клиентами удаленного доступа

Утилита Remote Access Admin

Утилита Routing and RAS Admin

Оснастка Маршрутизация и удаленный доступ

Разрешение удаленного доступа для учетной записи пользователя

Утилита Remote Access Admin или User Manager for Domains

Утилита User Manager for Domains

Оснастка Локальные пользователи и группы (Local Users and Groups) или Active Directory - пользователи и компьютеры (Active Directory Users and Computers)



Компоненты коммутируемого доступа



Таблица 19.3. Компоненты коммутируемого доступа

Компонент

Описание

Серверы коммутируемого доступа

Можно настроить сервер удаленного доступа, работающий под управлением Windows XP, чтобы он предоставлял доступ ко всей сети или только к ресурсам сервера удаленного доступа

Клиенты коммутируемого доступа

Клиенты удаленного доступа, работающие под управлением Windows NT и Windows XP, Windows 98, Windows 95, Windows for Workgroups, MS-DOS, LAN Manager или Apple Macintosh могут устанавливать соединения с сервером удаленного доступа под управлением Windows XP

Транспортные протоколы и протоколы удаленного доступа

Транспортные протоколы служат для базовой поддержки обмена информацией. Протоколы удаленного доступа используются для установления соединения и поддержки кадрирования данных транспортного протокола, которые передаются по WAN. Удаленный доступ Windows XP поддерживает протоколы TCP/IP, IPX, Appletalk, и NetBEUI, которые обеспечивают доступ к Интернету, UNIX, Apple Macintosh и ресурсам Novell NetWare. Удаленный доступ Windows XP поддерживает протоколы удаленного доступа РРР, SLIP, ARAP и протокол Microsoft RAS (только для NetBEUI)

Параметры WAN

Клиенты могут подключаться к серверу, используя стандартные телефонные линии и модем или группу модемов. Большим быстродействием обладают ISDN-подключения; можно подключать клиентов удаленного доступа к серверам удаленного доступа, используя Х.25. Также поддерживаются прямые соединения при помощи нуль-модема RS-232C или параллельного кабеля

Основа для подключения к Интернету

Коммутируемый доступ Windows XP предоставляет законченный набор служб для доступа в Интернет. Можно настроить компьютер под управлением Windows XP Server для работы в качестве сервера-провайдера услуг Интернета, поддерживающего установление соединения с Интернетом для клиентов, использующих протокол РРР. Компьютер под управлением Windows XP может подключаться к компьютеру под управлением Windows NT Server 3.5* (и выше), подключенному к Интернету, или к любому серверу Интернета, поддерживающему промышленные стандарты РРР или SLIP

Параметры защиты

Windows XP Logon и безопасность домена, безопасность на основе хостов безопасности, шифрования данных, RADIUS, смарт-карт, политики удаленного доступа и ответного вызова предоставляют надежную основу для организации безопасной службы удаленного доступа



Совместимость РРРклиентов Microsoft



Таблица 19.4. Совместимость РРР-клиентов Microsoft

Клиент коммутируемого удаленного доступа

Поддерживаемые возможности РРР удаленного доступа Windows XP

Неподдерживаемые возможности РРР удаленного доступа Windows XP

Windows XP

Многоканальное соединение, протоколы ВАР, MS CHAP, CHAP, SPAP, PAP, MS CHAPv2nEAP

Windows NT 4.0

Многоканальное соединение, протоколы MS CHAP, CHAP, SPAP, PAP и MS CHAP v2

ВАР и ЕАР

Windows NT 3.5x

Протоколы MS CHAP, CHAP, SPAP, PAP и MS CHAP v2

Многоканальное соединение, ВАР, MS CHAP v2 и ЕАР

Windows 98

Многоканальное соединение, протоколы MS CHAP, CHAP, SPAP, PAP и MS CHAP v2 (с установленным Windows 98 Service Pack 1 и выше)

ВАР и ЕАР

Windows 95

MS CHAP, CHAP, SPAP и PAP (с установленным Windows Dial-Up Networking 1 .3 Performance & Security Upgrade for Windows 95)

Многоканальное соединение, ВАР, MS CHAP v2 и ЕАР



Особенности клиентов Microsoft RAS



Таблица 19.5. Особенности клиентов Microsoft RAS

Клиент

Особенности использования

Windows NT 3.1

ОС Windows NT 3.1 использует протокол Microsoft RAS и полностью совместима со всеми версиями серверов удаленного доступа Microsoft. Эти клиенты не поддерживают протокол РРР, впервые реализованный в Windows NT 3.5. Только клиенты РРР Windows NT 3.5 и выше обеспечивают поддержку приложений TCP/IP или IPX

Windows for Workgroups, MS-DOS и LAN Manager

В поставку Windows XP Server входят Microsoft Network Client for MS-DOS и Client for Windows for Workgroups, которые обеспечивают функций удаленного доступа. Клиенты удаленного доступа Windows for Workgroups и LAN Manager также могут устанавливать соединение с серверами удаленного доступа на базе Windows NT 3.5 и выше. Microsoft Network Client for MS-DOS должен быть настроен для использования полного редиректора (full redirector). Если используется базовый редиректор (basic redirector), программу удаленного доступа rasphone нельзя запустить. Клиенты Windows for Workgroups, MS DOS и LAN Manager могут использовать шлюз удаленного доступа NetBIOS, чтобы обратиться к ресурсам на базе протокола NetBIOS, используя NetBIOS поверх TCP/IP, NetBIOS поверх IPX или NetBEUI через удаленное соединение. Однако, поскольку эти клиенты не поддерживают РРР, они не могут использовать приложенияк которые работают непосредственно по протоколам TCP/IP или IPX. Например, веб-серверы и серверы Novell NetWare не будут доступны этим клиентам через коммутируемое соединение



Протоколы удаленного



Таблица 19.6. Протоколы удаленного доступа, поддерживаемые Windows XP

Протокол

Поддержка

ррр

Windows XP Server поддерживает РРР — набор промышленных стандартов и протоколов проверки подлинности, позволяющих работать в сетях с продуктами нескольких производителей. Microsoft рекомендует использовать РРР из-за его гибкости и статуса промышленного стандарта. Применение РРР дает возможность компьютерам под управлением Windows XP устанавливать соединение с удаленными сетями через любой сервер, соответствующий стандарту РРР. Гибкость РРР также позволяет компьютеру под управлением Windows XP принимать входящие соединения и обеспечивать доступ к сети для программного обеспечения удаленного доступа других поставщиков. Архитектура РРР также позволяет клиентам удаленного доступа использовать любую комбинацию IPX, TCP/ P, NetBEUI и AppleTalk. На компьютере, работающем под управлением Windows NT/XP, Windows 98 или Windows 95 и работающим со службой удаленного доступа, можно устанавливать любую комбинацию протоколов TCP/IP, IPX и NetBEUI, а также запускать программы, использующие интерфейсы Windows Sockets, NetBIOS или IPX. Клиенты удаленного доступа Microsoft не поддерживают работу протокола AppleTalk по коммутируемому соединению

SLIP

SLIP — устаревший стандарт удаленного доступа, обычно используемый серверами удаленного доступа на базе UNIX. Клиенты удаленного доступа под управлением Windows XP поддерживают SLIP и могут соединяться с любым сервером удаленного доступа, используя стандарт SLIP. Это позволяет клиентам Windows NT 3.5 или выше устанавливать соединение с большим количеством коммуникационных серверов UNIX. Сервер удаленного доступа под управлением Windows XP не поддерживает клиентов SLIP

AppleTalk

Протокол удаленного доступа AppleTalk (ARAP) — протокол удаленного доступа, используемый клиентами удаленного доступа Apple Macintosh. ARAP предоставляет службу для входа в систему, проверки подлинности и настройки протокола AppleTalk во время установления соединения и позволяет сменить пароли, как только связь установлена. Клиент удаленного доступа под управлением Windows XP не поддерживает ARAP

Microsoft RAS

Протокол Microsoft RAS— отдельный протокол удаленного доступа, который поддерживает стандарт NetBIOS. Протокол Microsoft RAS поддерживается всеми версиями клиентов удаленного доступа Microsoft и используется в Windows NT 3.1, Windows for Workgroups, MS-DOS и LAN Manager. Клиент удаленного доступа, устанавливающий соединение с Windows NT 3.1 или Windows for Workgroups, должен использовать протокол NetBEUI. Сервер удаленного доступа в этом случае действует как шлюз NetBIOS для удаленного клиента, обеспечивая доступ к серверам, которые используют NetBEUI, NetBIOS no TCP/IP или NetBIOS по протоколу IPX



Компоненты VPN



Таблица 19.7. Компоненты VPN

Компонент

Краткое описание

Серверы VPN

Сервер VPN предоставляет доступ ко всей сети или только к общим ресурсам самого сервера

Клиенты VPN

VPN-клиенты— это отдельные компьютеры, использующие соединение удаленного доступа, или маршрутизаторы, использующие соединение для подключения сети срилиала. VPN-клиенты Windows NT 4.0 и выше, Windows 95 и Windows 98 могут создавать VPN-соединения с сервером удаленного доступа под управлением Windows XP, который функционирует в качестве VPN-сервера. Компьютеры под управлением Windows XP Server или Windows NT 4.0 Server, использующие службу маршрутизации и удаленного доступа (RRAS), могут организовывать сеть филиала и поддерживать коммутацию пакетов через VPN-соединения. VPN-клиентом может также быть любой клиент не-Microsoft, поддерживающий РРТР или L2TP (использующий защиту IPSec)

Транспортные протоколы и протоколы удаленного доступа

Транспортные протоколы используются прикладными программами для передачи информации. Протоколы удаленного доступа нужны для того, чтобы устанавливать соединения и осуществлять кадрирование данных протокола LAN, который передается по сети через WAN. Служба маршрутизации и удаленного доступа Windows XP поддерживает протоколы, напримерTCP/IP, IPX,

(прод.)

AppleTalk и NetBEUI, которые позволяют осуществить доступ к Интернету, UNIX, Apple Macintosh и ресурсам Novell NetWare. Для VPN-соединения служба маршрутизации и удаленного доступа Windows XP поддерживает протокол удаленного доступа РРТР

Протоколы туннелирования

При помощи протоколов туннелирования VPN-клиенты создают защищенные соединения с VPN-серверами. Windows XP включает протоколы туннелирования РРТР и L2TP

Параметры WAN

VPN-серверы обычно связаны с Интернетом на основе постоянных соединений или Т-1. VPN-клиенты связываются с Интернетом, используя постоянные соединения, либо используя стандартные аналоговые телефонные линии или ISDN подключаются к локальному Интернет-провайдеру

Основа для подключения через Интернет

VPN в Windows XP предоставляет законченный набор услуг для VPN в Интернет. Можно настроить компьютер под управлением , Windows XP Server как сервер VPN, который предоставляет защищенные соединения как с клиентами удаленного доступа, так и с другими маршрутизаторами филиала

Параметры безопасности

Вход в систему Windows XP и защита домена на базе хостов безопасности (security hosts), шифрования данных, RADIUS, смарт-карт, фильтрации IP-пакетов, идентификатора вызывающего абонента (caller ID) предоставляет безопасную среду для работы VPN-клиентов



Протоколы туннелирования



Таблица 19.8. Протоколы туннелирования для VPN-клиентов Microsoft

VPN-клиент

Поддерживаемые протоколы туннелирования

Неподдерживаемые протоколы туннелирования

Windows XP Windows NT 4.0

PPTPHL2TP РРТР

L2TP

VPN-клиент

Поддерживаемые протоколы туннелирования

Неподдерживаемые протоколы туннелирования

Windows 98

РРТР

L2TP

Windows 95

РРТР с установленным Windows Dial-Up Networking 1.3 Performance & Security Upgrade for Windows 95

L2TP

Windows NT 3.5*

He поддерживает VPN

L2TP, РРТР

Поддержка протоколов проверки подлинности Microsoft для клиентов VPN приведена в табл. 19.9.



Поддержка VPNклиентов



Таблица 19.9. Поддержка VPN-клиентов

VPN-клиент

Поддерживаемые протоколы аутентификации удаленного доступа Windows XP

Неподдерживаемые протоколы аутентификации удаленного доступа Windows XP

Windows XP

MS CHAP, CHAP, SPAP (протокол проверки подлинности пароля PAP), MS CHAP v2 и ЕАР

Windows NT 4.0

MS CHAP, CHAP, PPP, SPAP, PAP и MS CHAP v2 (c Windows NT 4.0 Service Pack 4)

ЕАР

Windows 98

MS CHAP, CHAP, PPP, SPAP, PAP и MS CHAP v2 (вместе Windows 98 Service Pack 1 или выше)

ЕАР

Windows 95

MS CHAP, CHAP, PPP, SPAP, PAP и MS CHAP v2 (вместе Windows Dial-Up Networking 1 .3 Performance & Security Upgrade for Windows 95)

ЕАР

Клиенты VPN производства третьих фирм, использующие РРТР или L2TP и IPSec, могут устанавливать соединение с сервером удаленного доступа под управлением Windows NT 4.0 (только РРТР) или Windows XP (оба протокола). Для клиентов сторонних производителей не требуется специальная настройка сервера удаленного доступа. Однако, если требуется безопасное VPN-соединение, необходимо удостовериться, что клиенты виртуальной частной сети поддерживают соответствующее шифрование. Для РРТР требуется поддержка Microsoft Point-to-Point Encryption (МРРЕ, шифрование Microsoft типа "точка-точка"). Для L2TP требуется шифрование IPSec.



Протоколы туннелирования



Таблица 19.10. Протоколы туннелирования

Протокол

Описание

РРТР

Point-to-Point Tunneling Protocol (Протокол туннелирования "точка-точка", РРТР) — промышленный стандарт de facto для протоколов туннелирования, впервые появившийся в Windows NT 4.0. РРТР — расширение протокола РРР, в котором усилены функции подлинности, сжатия и механизмы шифрования протокола РРР. РРТР устанавливается вместе со службой маршрутизации и удаленного доступа. По умолчанию РРТР настроен на пять РРТР-портов (одновременных соединений), которые разрешены для принятия входящих соединений. РРТР и МРРЕ предоставляют возможность защиты услуг VPN при помощи шифрования частных данных

L2TP

Level 2 Tunneling Protocol (Протокол туннеяирования второго уровня, L2TP) — протокол туннелирования, который планируется сделать промышленным стандартом. В отличие от РРТР, L2TP в Windows XP не использует МРРЕ для шифрования датаграмм РРР. L2TP использует для шифрования IPSec. Комбинация L2TP и IPSec известна как "L2TP поверх IPSec". L2TP и IPSec должны поддерживаться как VPN-кпи-ентом, так и VPN-сервером. L2TP устанавливается вместе со службой Level 2 Tunneling Protocol (Протокол туннелирования второго уровня, L2TP) — протокол туннелирования, который планируется сделать промышленным стандартом. В отличие от РРТР, L2TP в Windows XP не использует МРРЕ для шифрования датаграмм РРР. L2TP использует для шифрования IPSec. Комбинация L2TP и IPSec известна как "L2TP поверх IPSec". L2TP и IPSec должны поддерживаться как VPN-кли-ентом, так и VPN-сервером. L2TP устанавливается вместе со службой маршрутизации и удаленного доступа. По умолчанию L2TP настроен на пять 12ТР-портов (одновременных соединений), которые разрешены для принятия входящих соединений. "L2TP поверх IPSec" предоставляет возможность защиты услуг VPN при помощи шифрования частных данных



Свойства учетной записи пользователя



Таблица 19.11. Свойства учетной записи пользователя

Свойство

Описание

Разрешение на удаленный доступ (Remote Access Permission)

Используется для того, чтобы определить, разрешен ли удаленный доступ явно, запрещен или задан политикой удаленного доступа. Если доступ явно разрешен, то условия политики удаленного доступа, свойства учетной записи пользователя или свойства профиля могут запретить попытку соединения.

Опция Управление на основе политики удаленного доступа (Control access through Remote Access Policy) действует только для учетных записей пользователей для серверов удаленного доступа, работающих на автономном компьютере Windows XP Server или для членов домена Windows XP, работающего в основном (native) режиме

Проверять идентификатор

(Verify Caller-ID)

Если это свойство разрешено, сервер проверяет телефонный номер вызывающей стороны. Если он не соответствует настроенному номеру, попытка соединения отклоняется

Ответный вызов

(Callback Options)

Если это свойство разрешено, то при установлении соединения сервер запрашивает у вызывающей стороны указываемый ею телефонный номер или использует телефонный номер, заданный сетевым администратором, а затем производит ответный вызов

Постоянный IP-адрес пользователя (Assign a static IP-address)

Если это свойство разрешено, можно назначать конкретный IP-адрес пользователю при установлении соединения

Использовать статическую маршрутизацию

(Apply Static Routes)

Если это свойство разрешено, можно определять ряд статических маршрутов IP, которые добавляются в таблицу маршрутизации сервера удаленного доступа после установления соединения. Этот параметр предназначен для учетных записей пользователей, с которыми работают маршрутизаторы Windows XP в случае маршрутизации с установлением соединения по требованию



Варианты доступа без проверки подлинности



Таблица 19.12. Варианты доступа без проверки подлинности

Способ проверки подлинности

Описание

DNIS-проверка подлинности

Проверка подлинности при помощи Dialed Number Identification Service (Служба идентификации номера, DNIS) — аутентификация попытки соединения, основанная на номере, с которого производится звонок. Сервис DNIS возвращает телефонный номер вызывающей стороны; эту услугу предоставляет большинство современных телефонных компаний (в США и др. высокоразвитых странах, в России ситуация отличается). Для распознавания DNIS-соединений и применения параметров, соответствующих соединению, необходимо разрешить доступ без проверки подлинности и создать политику удаленного доступа, которая использует Called-Statfon-ID в качестве условия

Проверка подлинности при помощи автоматического определения номера

Автоматическое определение номера/Определение вызывающей линии (Automatic Number Identification/Calling Line Identification, ANI/CLI) — аутентификация соединения, основанная на телефонном номере вызывающей стороны. Сервис ANI/CLI возвращает номер вызывающей стороны; эту услугу предоставляет большинство современных телефонных компаний (в США и др. высокоразвитых странах). Для распознавания ANI/CLI-соединений и применения параметров, соответствующих соединению, необходимо разрешить доступ без проверки подлинности и создать политику удаленного доступа, которая использует Calling-Statjon-ID в качестве условия. Эта аутентификация отличается от аутентификации по Caller-ID. В аутентификации по Caller-ID вызывающая сторона должна послать имя пользователя и пароль (которые будут поставлены в соответствие учетной записи пользователя), в ANI/CLI передача имени и пароля не требуется

Гостевая проверка подлинности

В течение процесса проверки подлинности вызывающая сторона не посылает имя пользователя или пароль. Если разрешен доступ без проверки подлинности, для идентификации вызывающей стороны используется учетная запись Guest

Предупреждение

Если разрешен доступ без проверки подлинности, пользователи удаленного доступа могут устанавливать соединения без передачи идентификационной информации пользователя.

Клиенты удаленного доступа под управлением Windows XP не могут соединяться без передачи имени пользователя и пароля. Доступ без проверки подлинности предназначен для клиентов удаленного доступа сторонних производителей.



Кодирование ответа по схеме LAN



Таблица 19.13. Сравнение MS CHAP версий 1 и 2

Проблемы MS CHAP версии 1

Решение в MS CHAP версии 2

Кодирование ответа по схеме LAN Manager, которое используется для обратной совместимости со старыми клиентами Microsoft удаленного доступа, использует слабое шифрование

MS CHAP v2 более не поддерживает ответы, закодированные по схеме LAN Manager

Кодирование пароля по схеме LAN Manager использует слабое шифрование

MS CHAP v2 более не поддерживает передачу изменений паролей, закодированных по схеме LAN Manager

Возможна только однонаправленная проверка подлинности. Клиент удаленного доступа не может проверить, соединился он с подлинным или с ложным (подставным) сервером удаленного доступа

MS CHAP v2 поддерживает двустороннюю проверку подлинности, также называемую взаимной проверкой подлинности. Клиент удаленного доступа проверяет, к тому ли серверу удаленного доступа он подключился

При 40-разрядном шифровании ключ шифрования основывается на пароле пользователя. Каждый раз, когда пользователь подключается с тем же самым паролем, будет сгенерирован тот же самый ключ

При использовании MS CHAP v2 ключ шифрования основывается на пароле пользователя и произвольной строке запроса. Каждый раз, когда пользователь подключается с тем же самым паролем, используется другой ключ

Используется единый ключ шифрования для данных, передаваемых в обоих направлениях соединения

Используются отдельные ключи шифрования, которые генерируются для передаваемых и получаемых данных



Варианты ответного вызова



Таблица 19.14. Варианты ответного вызова

Вариант

Описание

Нет ответного вызова (No callback)

Если учетная запись пользователя не настроена для ответного вызова, сервер удаленного доступа устанавливает соединение сразу, как только попытка соединения была принята

Устанавливается вызывающей стороной (Set by caller)

Эта функция не повышает защищенность удаленного доступа, она полезна для клиентов, которые звонят из разных мест (регионов, городов, стран) и с разных телефонных номеров, снижая их затраты. Когда запрос на ответный вызов обрабатывается сервером удаленного доступа, происходят следующие события:

Сначала сервер определяет, являются ли имя пользователя и пароль верными Если имя пользователя и пароль подтверждены, на компьютере пользователя появляется диалоговое окно Ответный вызов (Callback) Пользователь вводит свой текущий номер телефона для ответного вызова в диалоговом окне Номер ответного вызова передается серверу Запрос на ответный вызов закончен, связь разрывается Сервер производит звонок клиенту по номеру ответного вызова После того как связь повторно установлена, клиент и сервер продолжают переговоры по установлению соединения

Всегда осуществлять ответный вызов по заданному номеру (Always callback to)

Этот вариант наиболее приемлем для реализации дополнительного уровня защиты: Необходимо выбрать его и ввести номер телефона, с которым связано оборудование удаленного доступа пользователя. Когда запрос пользователя поступает на сервер удаленного доступа, происходят следующие события:

Сначала сервер определяет, являются ли имя пользователя и пароль верными . Запрос на ответный вызов закончен, связь разрывается Сервер производит звонок клиенту по номеру ответного вызова, заданному в его учетной записи После того как связь повторно установлена, клиент и сервер продолжают переговоры по установлению соединения


условия политики удаленного доступа



Таблица 19.15. условия политики удаленного доступа

/TD>
Наименование атрибута Описание
NAS-IP-Address
Service-Type (Тип службы) Тип требуемой службы. Этот атрибут разработан (предназначен) для сервера IAS
Framed-protocol (Протокол кадрирования) Используемый тип кадрирования для входящих пакетов. Примеры — РРР, AppleTalk, SLIP, X.25. Этот атрибут предназначен для сервера IAS
Called-Station-ID (Идентификатор вызванной системы) Номер телефона сервера сетевого доступа (N AS). Этот атрибут— символьная строка. Можно использовать шаблон, чтобы задать коды городов. Необходимо позаботиться об установке телефонного номера для портов
Calling-Station-ID (Идентификатор вызывающей системы) Номер телефона, использованный вызывающей системой. Этот атрибут— символьная строка. Можно использовать шаблоны, чтобы задать коды городов
NAS-Port-Type (Тип порта NAS) Тип носителей, используемых вызывающей стороной. Примеры— аналоговые телефонные линии (асинхронные линии), ISDN, туннели или виртуальные частные сети
Day-and-time-restrictions (Ограничения по дню и времени) День недели и время попытки соединения с сервером
Client-IP-address (Клиентский IP-адрес) IP-адрес сервера сетевого доступа (клиент RADIUS). Этот атрибут — символьная строка. Можно использовать синтаксис шаблонов, чтобы определить IP-сеть. Этот атрибут предназначен для сервера IAS
Client-Vendor (Изготовитель клиента) Имя изготовителя (поставщика) сервера сетевого доступа (NAS). У сервера удаленного доступа Windows XP изготовителем является Microsoft RAS. Можно использовать этот атрибут, чтобы конфигурировать разные политики для различных NAS-поставщиков, которые являются клиентами RAIDUS (клиенты IAS). Этот атрибут предназначен для сервера IAS. Удостоверьтесь, что NAS настроен в качестве клиента RADIUS на сервере IAS

Client-friendly name (Имя клиента, дружественное название)

Название компьютера клиента RADIUS, который требует аутентификации. Этот атрибут— символьная строка. Можно использовать шаблон, чтобы задать имена клиентов. Этот атрибут предназначен для сервера IAS

Windows-Groups (Группы Windows)

Имена групп Windows, которым принадлежит пользователь, делающий попытку соединения. Нет никакого атрибута для отдельного имени пользователя. Не нужно иметь отдельную политику удаленного доступа для каждой группы. Используя вложенные группы можно перевести администрирование на уровень групп. Для сервера удаленного доступа или IAS при работе домена в основном (native) режиме Windows XP необходимо использовать универсальные (universal) группы



Параметры профиля политики удаленного доступа



Таблица 19.16. Параметры профиля политики удаленного доступа

Название параметра

Описание

Параметры соединения

Разъединение при простое (Idle Disconnect Time)

Временной интервал, по истечении которого соединение будет прервано, если нет никаких действий. По умолчанию это свойство не установлено, и сервер удаленного доступа не разрывает неактивное соединение

Максимальная продолжительность сеанса (Maximum Session length)

Максимальное время до разрыва соединения сервером удаленного доступа. По умолчанию это свойство не установлено, а сервер удаленного доступа не ограничивает время сеанса связи

Разрешить входящие подключения только в эти дни и время

(Day and time limits)

Дни недели и часы для каждого дня, во время которых соединение разрешено. Если день и время попытки соединения не соответствуют настройкам, попытка соединения отклоняется. По умолчанию это свойство не установлено, и сервер удаленного доступа не анализирует данные параметры

Разрешить вход только по номеру

(Dial-in Number)

Заданный номер телефона, который вызывающая сторона должна набрать, чтобы установить соединение. Если номер соединения не соответствует заданному, попытка соединения отклоняется. По умолчанию это свойство не установлено, и сервер удаленного доступа позволяет устанавливать соединение с любого телефонного номера

Разрешить входящие звонки следующих типов (Dial-in media)

Специальные типы носителей, например модем, ISDN или VPN, который вызывающая сторона должна использовать для соединения. Если попытка соединения по коммутируемой среде не соответствует настройке, она отклоняется. По умолчанию это свойство не установлено, и сервер удаленного доступа разрешает все типы сред передачи данных

Прочие параметры (вкладки на Рисунок 19.8)

IP

Позволяют устанавливать свойства IP, которые управляют выдачей клиентам IP-адресов для соединения. По умолчанию сервер удаленного доступа автоматически распределяет IP-адреса, и клиентам не разрешено запрашивать конкретные IP-адреса

Многоканальное подключение

(Multilink)

Позволяют устанавливать свойства многоканального соединения, разрешающие многоканальную связь и определяющие максимальное число портов, которые могут использовать входящие соединения. Дополнительно позволяют устанавливать протокол ВАР и соответствующую политику, которая определяет его использование. По умолчанию многоканальное соединение и ВАР заблокированы. Для применения этих параметров сервер удаленного доступа должен иметь возможность установления многоканального соединения и установленный протокол ВАР

Проверка подлинности

(Authentication)

Позволяют указать типы проверки подлинности, разрешенные для соединения, и определить тип используемого ЕАР. По умолчанию разрешены методы проверки подлинности с шифрованием — MS CHAP и MS PAP v2 . Для применения этих параметров на сервере удаленного доступа должны быть разрешены соответствующие типы проверки подлинности

Шифрование

(Encryption)

Позволяют назначить шифрование данных для соединения, при этом можно указать конкретные типы шифрования. По умолчанию разрешено шифрование IPSec и МРРЕ

Дополнительно

(Advanced)

Позволяют настроить дополнительные свойства для определения ряда атрибутов RADIUS, которые сервер IAS возвращает клиенту RADIUS. По умолчанию протоколом удаленного доступа (Framing protocol) является РРР и установлен параметр Service type = Framed. Единственные атрибуты, используемые сервером удаленного доступа Account-interim-interval, Framed-Protocol, Framed-MTU, Reply-Message и Service-Type



Телефония



Телефония

Программное обеспечение для поддержки телефонии — API-интерфейс телефонии (Telephony API, TAPI). TAPI обеспечивает функциональные возможности систем клиент-сервер; таким образом, прикладные телефонные программы на клиентском компьютере могут связываться с выделенным компьютером-сервером, который функционирует как шлюз с телефонным

коммутатором. TAPI также является основой идя использования в прикладных программах сторонних производителей: для интеграции в эти программы функций телефонии, например, для набора номера, для переадресации звонков, для речевой почты, для идентификации звонящего, для конференц-связи при помощи компьютеров.

Ранее невостребованные прикладные программы телефонии применяются все чаще, т. к. разработчики программного обеспечения используют стандартный интерфейс TAPI.

В современных телефонных системах внешний звонок, попадая в общую коммутируемую телефонную сеть, направляется на узел коммутации, который переводит этот звонок на магистральную линию. Когда звонок достигает офиса, офисная АТС (Public Branch Exchange, PBX) направляет этот звонок на соответствующий порт. Выходящие звонки следуют тем же маршрутом в обратном направлении. Звонки между внутренними пользователями офиса направляются от одного телефона к другому внутри РВХ.

Обычно для описания аппаратных средств, объединяющих телефонные линии друг с другом, используется термин "коммутатор", а системы, включающие коммутатор и другие периферийные аппаратные средства, напри-. мер, модемы, называют РВХ. Например, типичная РВХ-станция монтируется на стене, имеет модульный блок со слотами для адаптеров, которые легко подключаются и отключаются. Один такой адаптер может соединять магистральную линию с РВХ, другой подключает несколько линий; часто каждый адаптер является одноплатным компьютером.

Такой компьютер может являться специализированным программно-аппаратным комплексом или это может быть компьютер под управлением операционной системы общего назначения, например, Windows NT/XP Server. Приложения, работающие на этом компьютере обеспечивают возможности вызова, к примеру, конференц-связи, автоматической переадресации, ручного перевода звонка, ожидания, автоматического повторного набора и т. д. (Рисунок 19.21).

Другая реализация РВХ — компьютер с адаптерами для: передачи данных, для подключения магистральных линий и расширений. Как ив предыдущем случае, возможности вызова реализуются приложениями, работающими на компьютере.

Имеются две формы интеграции компьютера и телефонии: с применением технологий классической телефонии и IP-телефонии. Классическая телефония использует коммутируемые телефонные сети общего пользования (Public Switched Telephony Networks, PSTN), что позволяет создавать клиейт-серверные телефонные системы, а IP-телефония позволяет использовать компьютерную конференц-связь по локальным сетям (LAN), глобальным сетям (WAN) или через Интернет.



Установление соединения с использованием политик



Установление соединения с использованием политик

Когда пользователь пытается установить соединение, то попытка принимается или отклоняется на основании следующей логики:

1. Проверяется первая политика в упорядоченном списке политик. Если подходящей политики не существует, то попытка соединения отклоняется.
2. Если не все условия политики соответствуют попытке соединения, то осуществляется переход к следующей политике. Если политик больше нет, попытка соединения отклоняется.
3. Если все условия политики соответствуют попытке соединения, то проверяется разрешение удаленного доступа для пользователя, делающего попытку соединения: Если отказано в предоставлении права удаленного доступа, то попытка соединения отклоняется. Если предоставлено право удаленного доступа, то применяются свойства пользователя и свойства профиля. Если попытка соединения не соответствует параметрам настройки свойств учетной записи пользователя и свойств профиля, то попытка соединения отклоняется. Если попытка соединения соответствует параметрам настройки свойств учетной записи пользователя и свойств профиля, то соединение устанавливается.

LLЕсли право удаленного доступа определяется с помощью политики (Control access through Remote Access Policy), то установка разрешения удаленного доступа берется из политики:

Если в праве удаленного доступа отказано (Deny remote access permission), то попытка соединения отклоняется. Если право удаленного доступа предоставлено (Allow remote access permission), то применяются свойства пользователя и свойства профиля.

LLЕсли попытка соединения не соответствует параметрам настройки свойств учетной записи пользователя и свойств профиля, то попытка соединения отклоняется.

Если попытка соединения соответствует параметрам настройки свойств учетной записи пользователя и свойств профиля, то соединение устанавливается.



Включение сервера удаленного доступа



Рисунок 19.1. Включение сервера удаленного доступа












Возможности службы факсов



Возможности службы факсов

Передача сообщения на титульном листе

. Службу факсов позволяет передавать сообщения на титульном листе факса отдельно от документа. В Редакторе титульных страниц факсов (Fax Cover Page Editor) можно создать любой титульный лист по желанию пользователя или выбрать один из имеющихся шаблонов титульных листов. Мастер рассылки факсов автоматически вносит информацию о получателе и отправителе (Рисунок 19.18), нужно только ввести примечание и отослать факсимильное сообщение.

Передача факсов из программ

Служба факсов может работать с текстовыми документами и графическими изображениями. Можно отправлять по факсу документы из любого приложения Windows, в котором есть команда Печать.

Передача факсов из почтовых программ

Служба факсов работает также с некоторыми версиями Microsoft Exchange или Microsoft Outlook. В Outlook, например, можно передавать сообщения электронной почты и присоединенные документы получателям факсов. Необходимо настроить службу факсов, чтобы она работала с соответствующей учетной записью пользователя в Outlook; для этого в программе Outlook нужно в настройках профиля пользователя на вкладке Службы (Services) добавить Почтовый транспорт факсов (Fax Mail Transport).

Прием факсимильных сообщений

Службу можно настроить для автоматического приема факсов (рис 19.19) их сохранения на диске и печати на указанном принтере или автоматической передачи цо электронной почте (Рисунок 19.20).



Защита после подключения



Защита после подключения

После проверки подлинности удаленного доступа и подключения клиента к LAN клиент удаленного доступа может обращаться только к тем сетевым ресурсам, для которых он имеет соответствующее разрешение. Клиенты удаленного доступа подчиняются общим схемам безопасности Windows XP так же, как если бы они физически располагались в LAN. Другими словами, клиенты удаленного доступа не могут выполнять действия, не имея достаточных на то полномочий, и не могут обращаться к ресурсам, для которых они не имеют соответствующих разрешений.

Клиенты удаленного доступа должны быть проверены на подлинность сервером удаленного доступа до обращения к ресурсам и обмена данными по сети. Эта проверка подлинности — шаг, отдельный от регистрации в Windows XP. При передаче по телефонным линиям пароли пользователей и процесс проверки подлинности можно шифровать.

Можно ограничить клиента удаленного доступа доступом только к общим ресурсам сервера удаленного доступа, а не к ресурсам всей сети, к которой подключен сервер удаленного доступа. Администратор может управлять тем, какая информация будет доступна клиентам удаленного доступа, и ограничивать доступ пользователей в случае нарушения защиты.




Защита при подключении



Защита при подключении

Вот пошаговая схема процесса, происходящего при запросе клиента удаленного доступа к серверу удаленного доступа под управлением Windows XP:

1. Клиент удаленного доступа набирает номер сервера удаленного доступа.
2. Происходит физическое соединение (например, двух модемов).
3. Сервер посылает запрос клиенту.
4. Клиент посылает зашифрованный ответ серверу.
5. Сервер проверяет ответ при помощи базы данных учетных записей Пользователей.
6. Если учетная запись существует и не заблокирована, сервер принимает решение об установлении соединения в соответствии с политикой удаленного доступа и свойствами учетной записи пользователя для клиента удаленного доступа.
7. Если разрешена функция ответного вызова, сервер вызывает клиента и продолжает переговоры о соединении. Шаги 3 и 4 предполагают, что

клиент и сервер удаленного доступа используют протоколы проверки подлинности MS CHAP или CHAP. Для других протоколов проверки подлинности схема посылки клиентской идентификационной информации может отличаться от описанной.